参数化查询(简单举例)
这几天在查一些有关SQL语句防注入的资料,敲敲改改总算弄好了,不多说,贴代码
string str = @"server=LAPTOP-CM9CUARS;Integrated Security=SSPI;database=Space;";using (SqlConnection Conn = new SqlConnection(str)){Conn.Open(); //打开数据库 try{using (SqlCommand Cmd = Conn.CreateCommand()){Cmd.CommandText = "select * from tabUsers where ID=@ID and hspwd=@hspwd";Cmd.Parameters.Add(new SqlParameter("@ID", ID));Cmd.Parameters.Add(new SqlParameter("@hspwd", hspwd1));int count = Convert.ToInt32(Cmd.ExecuteScalar());if (count > 0){ Session["ID1"] = ID;string sql = "select*from tabUsers where id='" + ID + "'";string name = Class.Search(sql);Session["name"] = name;Response.Write("<script>alert('登录成功!');location='Space.aspx'</script>");}elseResponse.Write("<script>alert('登录失败,请正确填写账号、密码!')</script>");}}
转载于:https://www.cnblogs.com/wxy990118/p/6131394.html
参数化查询(简单举例)相关推荐
- 参数化查询 但未提供该参数(将null插入数据库)
当你是使用参数化查询时为参数赋值时,比如command.Parameters.Add("@a",SqlDbType.Text,30).Value=a;当a=null是将报错: 错参 ...
- Sql Server参数化查询之where in和like实现之xml和DataTable传参
在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充 文章导读 ...
- 参数化查询为什么能够防止SQL注入
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的. 本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨. 首先:我们 ...
- [转]Sql Server参数化查询之where in和like实现详解
本文转自;http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html 文章导读 拼SQL实现where in查询 使用CHARIND ...
- SqlServer:带IN()子句C#的参数化查询
目录 介绍 IN()子句帮助类 SQL查询构建 具有实体框架的参数化查询 使用SqlCommand进行参数化查询 数据 数据库,表和数据行 Db连接字符串 其他数据库 一个实用程序类,使用参数化查询在 ...
- OLEDB 参数化查询
一般情况下,SQL查询是相对固定的,一条语句变化的可能只是条件值,比如之前要求查询二年级学生信息,而后面需要查询三年级的信息,这样的查询一般查询的列不变,后面的条件只有值在变化,针对这种查询可以使用参 ...
- dapper mysql 多参数查询_使用Dapper进行参数化查询
在使用Dapper操作Mysql数据库中我介绍了使用dapper进行CURD基本操作,但在示例代码中参数虽然也是通过@开头,但其实不是真正意义的参数化查询,而是拼接sql,这种方式不利于防止sql注入 ...
- MySQL:单表查询---简单查询+条件查询+高级查询+表和字段取别名
目录 一.通用模版展示 简单查询 条件查询 高级查询 表和字段取别名 二.举例说明 简单查询 条件查询 高级查询 表和字段取别名 三.注意事项 四.Mapper简单举例 简单查询 条件查询 高级查询 ...
- mysql 查询语句 参数,mysql参数化查询语句有关问题
mysql参数化查询语句问题 部分代码如下: using (MySqlConnection conn = new MySqlConnection(connectionString)) { conn.O ...
- SqlParameter参数化查询
上篇博客写了关于重构代码用到的SQLHelper类,这个类包括四种函数,根据是否含参和是否有返回值各分两种.在这里写写传参过程用到的SqlParameter. 如果我们使用如下拼接sql字符串的方式进 ...
最新文章
- 敏捷爽畅模型及其演变——Diana Larsen专访
- 扩增子图片解读7三元图:美的不要不要的,再多用也不过分
- 基于Solr的空间搜索学习笔记
- 博弈入门(思想)HDkiki‘s game;
- 日志文件和mysql同步到kafka_logstash_output_kafka:Mysql 同步 Kafka 深入详解
- 异常的总结 java 1615387415
- linux文件存储管理,深入探讨Linux文件系统管理小结
- python 读取jpg文件是yuv_Python读取YUV文件,并显示的方法
- JavaScript--eval
- 流过的时光... 想到了曾经的我某个情节我笑了...
- matlab绘制小人奔跑动图,如何做奔跑的小人运动规律-动画初学者入门教程
- Linux_clustalW安装及使用(部分)
- nxp_3|虚拟机Linux内核资源
- 威廉希尔赔率分析和结论
- Spring的AOP(一):什么是AOP
- 快速校验 input内容规则
- oracle sample 慢,【案例】Oracle优化 latch free问题Result Cache:RC Latch引起数据库缓慢...
- Upload上传@20210412
- group by 用法
- 音视频开发系列(15):视频与音频同步