Prechodné parametre:
string sql = "select count(*) from zhuce where username=@username and pwd=@pwd and type = @type";
SqlConnection conn = nový SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = nový SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Hodnota = používateľské meno;
cmd.Parameters["@pwd"]. Hodnota = pwd;
cmd.Parameters["@type"]. Hodnota = moc. Text;
int count = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Close();
Nie som si istý, akú databázu používaš
Tu je kúsok SQL-Server kódu
Najdôležitejšie na zabránenie injekčným útokom nie je používať parametre spájania, ale metódy priraďovania parametrov.
SqlConnection conn=......
SqlCommand comm = nový SqlCommand ("vyberte count (*)z Table1, kde meno = @loginame a heslo = @loginpassword",conn);
komunikácia. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
komunikácia. Parametre["@loginame"].value=TextBox1.Text;
komunikácia. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
komunikácia. Parametre["@loginpassword"].value=TextBox2.Text;
komunikácia. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Zverejnené 29. 1. 2015 10:12:59
|
|
|
