Pass by-parameter:
sträng sql = "välj antal(*) från zhuce där användarnamn=@username och pwd=@pwd och typ = @type";
SqlConnection conn = ny SqlConnection(Common.Context.SqlManager.CONN_STRING);
Conn. Open();
SqlCommand cmd = ny SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Value = användarnamn;
cmd.Parameters["@pwd"]. Värde = pwd;
cmd.Parameters["@type"]. Värde = kraft. SMS;
int count = Convert.ToInt32(cmd.ExecuteScalar());
Conn. Close();
Jag är osäker på vilken databas du använder
Här är en bit SQL-Server-kod
Det viktigaste för att förhindra injektionsattacker är inte att använda sammanlänkningsparametrar, utan att använda metoder för parametertilldelning.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("välj antal (*) från tabell1 där namn = @loginame och lösenord = @loginpassword",conn);
Kommunikation. Parameters.Add (ny SqlParameter("@loginame",SqlDbType.NVarchar,20);
Kommunikation. Parameters["@loginame"].value=TextBox1.Text;
Kommunikation. Parameters.Add (ny SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Kommunikation. Parameters["@loginpassword"].value=TextBox2.Text;
Kommunikation. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Publicerad på 2015-01-29 10:12:59
|
|
|
