-
客服电话
-
APP下载
迪恩网络APP
随时随地掌握行业动态
-
官方微信
扫描二维码
关注迪恩网络微信公众号
客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
为什么要参数化执行SQL语句呢? 一个作用就是可以防止用户注入漏洞。 简单举个列子吧。 比如账号密码登入,如果不用参数, 写的简单点吧,就写从数据库查找到id和pw与用户输入一样的数据吧 sql:select id,pw where id='inputID' and pw='inputPW'; 一般情况没什么问题,但如果用户输入的id或PW带 ‘ ,这是可能就会出现漏洞,bug了 比如用户输入的id是: 1‘ or ’1‘=‘1 这是sql语句执行的是:select id,pw where id='1‘ or ’1‘=‘1 ‘ and pw='inputPW'; 那数据库里的所有账号密码都符合这个条件了。 简而言之,用户可以通过 ' 来改变你SQL的执行。 参数化就可以避免这个问题了。
/************************非查询操作*****************************************/ //今天太晚了,先写个非查询操作的,明天在写查询操作的。 /****函数*****/ /// <summary> /// 增删改数据,返回影响行数,没有则返回-1 /// </summary> /// <param name="sql">sql语句</param> /// <param name="ps">参数</param> /// <returns>返回影响行数</returns> static string connStr ="server=IP;User Id=账号名;password=密码;Database=表名"; public static int ExecuteNonQuery(string sql, params MySqlParameter[] ps) { using (MySqlConnection conn = new MySqlConnection(connStr)) { using (MySqlCommand cmd = new MySqlCommand(sql, conn)) { cmd.Parameters.AddRange(ps); conn.Open(); return cmd.ExecuteNonQuery();//返回受影响行数 } } } /****应用举例****/ public void InsertData() { int cid=1,aid=2; string name="hha"; string sql = "insert into tb_compart (compartID,compartName,areaID)values(@compartID,@compartName,@areaID);"; MySqlParameter[] ps ={ new MySqlParameter("@compartID",(object)cid), new MySqlParameter("@compartName",name), new MySqlParameter ("@areaID",(object)aid)}; int r = Mysql.MySQLHelper.ExecuteNonQuery(sql, ps);//r得值就是受影响的行数,执行失败r=-1; } }
|
2023-10-27
2022-08-15
2022-08-17
2022-09-23
2022-08-13
六六分期app的软件客服如何联系?不知道吗?加qq群【895510560】即可!标题:六六分期
今天小编告诉大家如何处理win10系统火狐flash插件总是崩溃的问题,可能很多用户都不知
今天小编告诉大家如何对win10系统删除桌面回收站图标进行设置,可能很多用户都不知道
今天小编告诉大家如何对win10系统电脑设置节能降温的设置方法,想必大家都遇到过需要
我们在使用xp系统的过程中,经常需要对xp系统无线网络安装向导设置进行设置,可能很多
今天小编告诉大家如何处理win7系统玩cf老是与主机连接不稳定的问题,可能很多用户都不
电脑对日常生活的重要性小编就不多说了,可是一旦碰到win7系统设置cf烟雾头的问题,很
我们在日常使用电脑的时候,有的小伙伴们可能在打开应用的时候会遇见提示应用程序无法
今天小编告诉大家如何对win7系统打开vcf文件进行设置,可能很多用户都不知道怎么对win
今天小编告诉大家如何对win10系统s4开启USB调试模式进行设置,可能很多用户都不知道怎
请发表评论