分类:
NET
防止sql 注入的,简单参数化写法
public bool Login(string _username, string _password)
{
using (SqlConnection conn = new SqlConnection("server=.;uid=sa;pwd=123456;database=test"))
{
conn.Open();
string sql = "select 1 from Users where UserName=@username and Number=@number";
//参数化
using (SqlCommand com = new SqlCommand(sql, conn))
{
//给username提供参数
SqlParameter sp = new SqlParameter("username",_username);
com.Parameters.Add(sp);
//给密码提供参数
SqlParameter password_sp = new SqlParameter("number", _password);
com.Parameters.Add(password_sp);
SqlDataReader reader = com.ExecuteReader();
if (reader.Read())
return true;
else
return false;
}
}
}评价
排名
6
文章
6
粉丝
16
评论
8
{{item.articleTitle}}
{{item.blogName}} : {{item.content}}
ICP备案 :渝ICP备18016597号-1
网站信息:2018-2025TNBLOG.NET
技术交流:群号656732739
联系我们:contact@tnblog.net
公网安备:
50010702506256
50010702506256
欢迎加群交流技术