转自:http://www.cnblogs.com/yangcaogui/archive/2012/06/09/2537086.html目录:简单的介绍下ADO.NETSqlConnection(连接对象)SqlCommand(命令对象)SqlParameter(Sql参数)SqlDataReade...
分类:
Web程序 时间:
2014-10-29 18:45:08
阅读次数:
412
前些天写用户注册模块,用存储过程添加用户,一开始就报“为过程或函数sp_Adduser指定了过多的参数”。仔细检查数据层的用户添加函数,结果在为存储过程添加sqlparameter参数的时候,数组给写错位了(参数太多)。改正后,编译执行,结果还是报“为过程或函数sp_Adduser指定了过多的参数”...
分类:
其他好文 时间:
2014-10-09 14:01:03
阅读次数:
145
public string GenerateExamePaper(string paperType, string driverID, string MacAddr) { int i; IDataParameter[] iData = new SqlParameter[4]...
分类:
其他好文 时间:
2014-10-08 15:49:55
阅读次数:
209
public string GenerateExamePaper(string paperType, string driverID, string MacAddr) { int i; IDataParameter[] iData = new SqlParameter[4]...
分类:
其他好文 时间:
2014-10-05 18:40:08
阅读次数:
165
在做机房收费系统的时候,曾经利用过传递参数的形式来将值传递给SQL语句或者存储过程,因为这样可以通过参数化的查询来帮助抵御“SQL 注入”式攻击,这种攻击者会将命令插入SQL语句,从而危机服务器的安全。
SqlParameter Param = new SqlParameter("@CourseID", 4);
这样可以从一定程度上来抵御SQL注入,但做的还不是很好,细心的话,你会...
分类:
数据库 时间:
2014-09-20 16:26:19
阅读次数:
271
在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的我们一般的思维是:Like 参数:string strSql = "select * from Person.Address where City like '%@add%'";SqlParameter[...
分类:
数据库 时间:
2014-09-11 19:06:52
阅读次数:
353
最近学习过程中,用到like语句,但为了防止sql注入,所以得使用sql参数化的方法进行查询。发现使用like语句时,不同于直接的查询。尝试了几次,都没有成功。直接查询时的写法为:select 字段 from 表 where 字段=@parameter;SqlParameter s1 = new S...
分类:
数据库 时间:
2014-09-11 16:48:22
阅读次数:
255
今天在看到朋友说起数据库sql注入问题说得比较复杂,就写了一个简单的列子供大家参考: SqlConnection con = new SqlConnection(mySql); //用SqlParameter可以防止Sql注入和一...
分类:
数据库 时间:
2014-08-05 18:33:09
阅读次数:
269
关于Sql注入的基本概念,相信不需要多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可...
分类:
数据库 时间:
2014-07-18 17:30:53
阅读次数:
417
和操作一般nvarchar一样,要注意的一点就是SqlDbType.Nvarchar的长度设置为-1,new SqlParameter("@text",SqlDbType.NVarChar,-1) public bool AddMax() { StringBuilder str...
分类:
其他好文 时间:
2014-06-30 22:42:22
阅读次数:
270
