没有分了,但请各位热心的进来帮帮忙
求一段在数据连接时防注入源码(c#)
[解决办法]
用参数 如下
string query= "select count(*) from users where username=@username and password=@password ";
....//创建Connection ,Command对象
//增加参数名及类型
thisCommand.Parameters.Add( "@username ",SqlDbType.VarChar,10)
thisCommand.Parameters.Add( "@password ",SqlDbType.VarChar,10)
//给参数赋值
thisCommand.Parameters[ "@username "].Value=txt_username.Text;
thisCommand.Parameters[ "@password "].Value=txt_password.Text;
Connection.Open();
int count=(int)Command.ExecuteScalar();
Connection.Close();
===========
或用存储过程