码迷,mamicode.com
首页 > 数据库 > 详细

参数化防SQL注入

时间:2015-01-27 00:23:54      阅读:194      评论:0      收藏:0      [点我收藏+]

标签:

 

private void AddStudent(){

 string strName =txtName.Text.Trim();

 string strPwd = txtPwd.Text.Trim();

string strSql ="insert into Student (name,pwd)  values(@name,@pwd) ";

SqlConnection conn = new SqlConnection("  server=.;database=TestDB;uid=sa;pwd=pwd123 ");

SqlCommand cmd = new SqlCommand(strSql,conn); 

//参数数组 对应Sql语句中的参数

SqlParameter [] paras ={

  new SqlParameter("@name",strName),

  new SqlParameter("@pwd",strPwd)

    };

cmd.Parameters.AddRange(paras);

conn.Open();

int result = Convert.ToInt32(cmd.ExecuteScalar());

conn.Close();

if(result>0){

...

}eles{

...

}

 

 

}

参数化防SQL注入

标签:

原文地址:http://www.cnblogs.com/zhangruiBlog/p/4251678.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!