参数化查询（简单举例）

时间：2016-12-04 20:41:23 阅读：123 评论：0 收藏：0 [点我收藏+]

这几天在查一些有关SQL语句防注入的资料，敲敲改改总算弄好了，不多说，贴代码

string str = @"server=LAPTOP-CM9CUARS;Integrated Security=SSPI;database=Space;";
            using (SqlConnection Conn = new SqlConnection(str))
            {
                Conn.Open(); //打开数据库 
                try
                {
                    using (SqlCommand Cmd = Conn.CreateCommand())
                    {
                        Cmd.CommandText = "select * from tabUsers where ID=@ID and hspwd=@hspwd";
                        Cmd.Parameters.Add(new SqlParameter("@ID", ID));
                        Cmd.Parameters.Add(new SqlParameter("@hspwd", hspwd1));
                        int count = Convert.ToInt32(Cmd.ExecuteScalar());

                        if (count > 0)
                        { 
                            Session["ID1"] = ID;
                            string sql = "select*from tabUsers where id=‘" + ID + "‘";
                            string name = Class.Search(sql);
                            Session["name"] = name;
                            Response.Write("<script>alert(‘登录成功！‘);location=‘Space.aspx‘</script>");
                        }
                        else
                            Response.Write("<script>alert(‘登录失败，请正确填写账号、密码！‘)</script>");
                    }
                }

参数化查询（简单举例）

原文：http://www.cnblogs.com/wxy990118/p/6131394.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)