Параметр проходження за параметром:
String sql = "Вибрати Count(*) з Zhuce, де ім'я користувача=@username та pwd=@pwd а тип = @type";
SqlConnection conn = новий SqlConnection(Common.Context.SqlManager.CONN_STRING);
Конн. Відкрито();
SqlCommand cmd = новий SqlCommand (sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"]. Value = ім'я користувача;
cmd.Parameters["@pwd"]. Value = PWD;
cmd.Parameters["@type"]. Value = сила. Текст;
int count = Convert.ToInt32(cmd.ExecuteScalar());
Конн. Близько();
Не впевнений, яку базу даних ви використовуєте
Ось фрагмент коду SQL-Server
Найважливіше для запобігання ін'єкційним атакам — не використовувати параметри сплайсингу, а застосовувати методи призначення параметрів.
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("вибрати count (*)from Table1, де name = @loginame і password = @loginpassword",conn);
Комунікація. Parameters.Add(новий SqlParameter("@loginame",SqlDbType.NVarchar,20);
Комунікація. Parameters["@loginame"].value=TextBox1.Text;
Комунікація. Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
Комунікація. Parameters["@loginpassword"].value=TextBox2.Text;
Комунікація. Connection.Open();
int mark=(int)comm. ExecuteScalar()
//--mark用于标记 |
Опубліковано 29.01.2015 10:12:59
|
|
|
