使用SQLParameter解决SQL注入

其他 2020-03-21 10:34:07 阅读次数: 0

用SQLParameter来对变量参数化

private string connString = ConfigurationManager.ConnectionStrings["TestConnectString"].ToString();

public UserLogin UserLogin(UserLogin userlogin)
        {
            //参数化,特殊符号转义成普通字符串,防止sql注入
            SqlParameter[] paras = new SqlParameter[]
           {
               new SqlParameter("@userloginId",userlogin.LoginId),
               new SqlParameter("@userloginPwd",userlogin.LoginPwd)
           };
            string sql = "select LoginId,LoginPwd,LoginName from UserLogin where LoginPwd=@userloginPwd and LoginId=@userloginId";
            SqlConnection conn = new SqlConnection(connString);
            conn.Open();
            //创建执行脚本的对象
            SqlCommand cmd = new SqlCommand(sql, conn);
            cmd.Parameters.AddRange(paras);
            //提交查询          
            SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection);
            //判断是否正确,正确封装Name,否则置空
            if (sdr.Read())
            {
                userlogin.LoginName = sdr["LoginName"].ToString();
            }
            else
            {
                userlogin = null;//登录失败
            }
            sdr.Close();
            return userlogin;
        }

 SqlParameter还可以作为参数传入其他方法里,如SqlHelper

 /// <summary>
        /// 执行一个结果集的查询
        /// </summary>
        /// <param name="sql">sql语句</param>
        ///  <param name="paras">SqlParameter参数</param>
        /// <returns>返回一个数据流</returns>
        public static SqlDataReader ExeReader(string sql, params SqlParameter[] paras)//params 设置为可选参数(即可传可不传值)
        {
            SqlConnection conn = new SqlConnection(connString);
            SqlCommand cmd = new SqlCommand(sql, conn);
            if (paras.Length != 0)
            {
                cmd.Parameters.AddRange(paras);
            }               
            try
            {
                conn.Open();
                return cmd.ExecuteReader(CommandBehavior.CloseConnection);//定义了
            }
            catch (Exception ex)
            {
                throw new Exception("static SqlDataReader ExeReader(string sql)方法出错" + ex.Message);
            }
        }

        public UserLogin Login(UserLogin userlogin)
        {
            SqlParameter[] para = new SqlParameter[]
            {
               new SqlParameter("@userloginId",userlogin.LoginId),
               new SqlParameter("@userloginPwd",userlogin.LoginPwd)
            };
            //封装sql语句
            string sql = "select LoginId,LoginPwd,LoginName from UserLogin where LoginPwd=@userloginPwd And LoginId=@userloginId";
            //提交查询          
            SqlDataReader sdr = SQLHelper.ExeReader(sql,para);
            
            //判断是否正确,正确封装Name,否则置空
            if (sdr.Read())
            {
                userlogin.LoginName = sdr["LoginName"].ToString();
            }
            else
            {
                userlogin = null;//登录失败
            }
            sdr.Close();
            return userlogin;
        }

猜你喜欢

转载自www.cnblogs.com/Striveyoungfellow/p/12536769.html
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022