ADO.net 防止SQL 字符串注入攻击

void Main(string[] args) { //接收用户输入的查询条件 Console.WriteLine("请输入要查询的汽车代号："); string code = Console.ReadLine(); //造连接对象 SqlConnection conn = new SqlConnection("server=.;database=mydb;user=sa;pwd=123"); //造命令对象 SqlCommand cmd = conn.CreateCommand(); //给命令对象一条SQL语句 //使code=一个变量 cmd.CommandText = "select * from Car where Code=@code"; //cmd.CommandText = "select * from Car where Code=@code or Name=@name"; //改变量绑定参数 cmd.Parameters.Clear();//清除绑定的变量，最好每次用参数集合前写一个清除 cmd.Parameters.AddWithValue("@code",code); //cmd.Parameters.AddWithValue("@name",name);//有多少列绑多少个 //打开连接 conn.Open(); //执行SQL语句 SqlDataReader dr = cmd.ExecuteReader(); //读取数据 if (dr.HasRows) { while (dr.Read()) { Console.WriteLine(dr[0] + "--" + dr[1]); } } else { Console.WriteLine("没有查到相应的数据"); } //关闭连接 conn.Close(); Console.ReadLine(); } View Code

 

ADO.net 防止SQL 字符串注入攻击

标签：val   ges   image   方法   ica   技术   parameter   执行   多少