ADO.net 防止SQL 字符串注入攻击
时间:2021-07-01 10:21:17
帮助过:12人阅读
void Main(
string[] args)
{
//接收用户输入的查询条件
Console.WriteLine(
"请输入要查询的汽车代号:");
string code =
Console.ReadLine();
//造连接对象
SqlConnection conn =
new SqlConnection(
"server=.;database=mydb;user=sa;pwd=123");
//造命令对象
SqlCommand cmd =
conn.CreateCommand();
//给命令对象一条SQL语句
//使code=一个变量
cmd.CommandText =
"select * from Car where Code=@code";
//cmd.CommandText = "select * from Car where Code=@code or Name=@name";
//改变量绑定参数
cmd.Parameters.Clear();
//清除绑定的变量,最好每次用参数集合前写一个清除
cmd.Parameters.AddWithValue(
"@code",code);
//cmd.Parameters.AddWithValue("@name",name);//有多少列绑多少个
//打开连接
conn.Open();
//执行SQL语句
SqlDataReader dr =
cmd.ExecuteReader();
//读取数据
if (dr.HasRows)
{
while (dr.Read())
{
Console.WriteLine(dr[0] +
"--" + dr[
1]);
}
}
else
{
Console.WriteLine("没有查到相应的数据");
}
//关闭连接
conn.Close();
Console.ReadLine();
}
View Code
ADO.net 防止SQL 字符串注入攻击
标签:val ges image 方法 ica 技术 parameter 执行 多少