Pregled parametrov:
string sql = "select count(*) iz zhuce, kjer uporabniško ime=@username in pwd=@pwd ter type = @type";
SqlConnection conn = novi SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = novi SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Vrednost = uporabniško ime;
cmd.Parameters["@pwd"]. Vrednost = pwd;
cmd.Parameters["@type"]. Vrednost = moč. Besedilno sporočilo;
int count = Pretvori.ToInt32(cmd.ExecuteScalar());
Conn. Close();
Nisem prepričan, katero bazo podatkov uporabljaš
Tukaj je del SQL-Server kode
Najpomembnejše za preprečevanje napadov z injekcijami ni uporaba parametrov spajanja, temveč uporaba metod dodeljevanja parametrov.
SqlConnection conn=......
SqlCommand comm =nov SqlCommand ("izberi count (*)iz Table1, kjer ime = @loginame in geslo = @loginpassword",conn);
Komunikator. Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
Komunikator. Parametri["@loginame"].value=TextBox1.Text;
Komunikator. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Komunikator. Parametri["@loginpassword"].vrednost=TextBox2.Text;
Komunikator. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Objavljeno na 29. 01. 2015 10:12:59
|
|
|
