asp.net2.0中分别使用值和参数传值写入数据库SQL

最新推荐文章于 2021-02-04 22:41:58 发布
最新推荐文章于 2021-02-04 22:41:58 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: .NET C# asp.net 文章标签: 数据库 asp.net insert login email textbox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Specialaspnet/article/details/4952346
版权
.NET 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
asp.net
12 篇文章 0 订阅
订阅专栏
C#
10 篇文章 0 订阅
订阅专栏

一.使用值的方式写入数据库

       protected void Insert_Click1(object sender, ImageClickEventArgs e)
      {
          //创建数据库链接
          SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings["Example_LoginConnectionString"].ToString());
          //定义SQL插入语句,注意写法啊!
          string cmdStr = "insert into 信息列表(用户名,密码,姓名,性别,备注) values('" + t_User.Text.Trim() + " ','" + t_Pwd.Text.Trim();
          cmdStr += "','" + t_Name.Text.Trim() + "','" + DropDownList.SelectedValue + " ',' " + t_Remark.Text.Trim() + "')";
          SqlCommand cmd = new SqlCommand(cmdStr, con);

          try
          {
              con.Open();
              cmd.ExecuteNonQuery();//出现了异常
          }
          catch (SqlException sqlex)
          {
              //-----
              Response.Write(sqlex.Message + "<br>");
          }
          finally
          {
              con.Close();
          }
    }

    但是,这样的写入数据库不够安全,比如说在用户验证登录时容易遭到"注入攻击",比如别人在登录的时候使用值传数据的话那么验证输入语句 select UserID froms Users where UserName='username' AND Password='password',在用户对用户名框中写入'username' or    '1==1'等,那么原句就变为select UserID froms Users where UserName='username'    OR '1==1' AND Password='password' ,所以用户不管输入什么密码,都可以登录.

二,利用参数传值

    此方法改善了值传数据的缺点

    protected void Btnlogin_Click(object sender, EventArgs e)
      {
          //当点击注册的时候触发的事件
          //利用参数传值
          SqlConnection cnn = new SqlConnection(ConfigurationManager.ConnectionStrings["E_login3"].ConnectionString);
          string cmdstr="insert into 学生信息表(学号,密码,院校,专业,姓名,生日,email,备注) values (@login,@pwd,@college,@manger,@name,@birthday,@email,@remark)";
          SqlCommand cmd = new SqlCommand(cmdstr, cnn);//定义数据库命令语句

          SqlParameter p1 = new SqlParameter("@login", SqlDbType.VarChar, 64);
          p1.Value = t_code.Text.Trim();
          cmd.Parameters.Add(p1);//一个一个的添加参数

          SqlParameter p2 = new SqlParameter("@pwd", SqlDbType.VarChar, 64);
          p2.Value =t_pwd2.Text.Trim();
          cmd.Parameters.Add(p2);//注意了,类型和大小参数要和数据库的一致啊!

          SqlParameter p3 = new SqlParameter("@college", SqlDbType.NText, 16);
          p3.Value = DropCollege.SelectedValue;
          cmd.Parameters.Add(p3);

          SqlParameter p4 = new SqlParameter("@manger", SqlDbType.NText, 16);
          p4.Value = DropManger.SelectedValue;
          cmd.Parameters.Add(p4);

          SqlParameter p5 = new SqlParameter("@name", SqlDbType.NText, 16);
          p5.Value = t_name.Text.Trim();
          cmd.Parameters.Add(p5);

          SqlParameter p6 = new SqlParameter("@birthday", SqlDbType.Char, 20);
          p6.Value = TextBox1.Text;
          cmd.Parameters.Add(p6);

          SqlParameter p7 = new SqlParameter("@email", SqlDbType.NText, 16);
          p7.Value =t_email.Text.Trim();
          cmd.Parameters.Add(p7);

          SqlParameter p8 = new SqlParameter("@remark", SqlDbType.NText, 16);
          p8.Value = t_remark.Text;
          cmd.Parameters.Add(p8);

          try
          {
              cnn.Open();//打开数据库
              cmd.ExecuteNonQuery();//执行数据库语句
          }
          catch(SqlException sqlex)
          {
              Response.Write(sqlex.Message+"<br>");
          }
          finally
          {
              cnn.Close();//关闭数据库
          }
          
      }

Specialaspnet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#和asp.net链接数据库参数的几种传递方法实例代码
10-26
介绍了C#和asp.net链接数据库参数的几种传递方法实例代码,有需要的朋友可以参考一下
ASP.NET2.0 SQL Server数据库连接详解
10-29
ASP.NET 2.0SQL Server数据库的连接主要依赖于ADO.NET框架,这是一个强大的数据访问技术,它允许开发者高效地与各种数据库进行交互。本文将深入探讨如何使用Connection对象,特别是SqlConnection类,来建立和...
ASP.NET数据导入到数据库
weixin_44547775的博客
04-26 1840
ASP.NET数据导入到数据库》 开发工具与关键技术:Visual Studio / MVC 作者:肖春庆 撰写时间:2019年04月25日 在我们使用软件的过程当,少不了把数据导入的数据库里。那么视图的数据类型是不相同,我们是如何把数据转换,又如何把数据导入到数据库里呢?如果数据不正确怎样限制用户不能导入到数据库里?导入说通过接受Excel工作表的数据把数据一一导入到数据库里。找到Exce...
ASP向mysql数据库写入数据_在ASP.NET,向数据库批量插入数据
weixin_39830175的博客
02-04 348
在我们平时的开发过程,经常要向数据库插入数据,有时可能要进行很多次类似的操作,比如向数据库的同一个表同时插入若干数据,即批量插入数据。向数据库批量插入数据,可以将若干条数据一次插入道数据库,提高程序的执行效率,也可以减少我们的工作量。批量插入数据,可以采用一下两种方法。一、利用事务(Transaction)‘定义执行批量插入数据的函数,参数Insert SQL语句的数组Sub ExeTra...
net core2.1 在过滤器获取post的body参数sql字符串验证
u013595395的博客
11-13 1386
(1)获取post的body参数 // 执行action前的过滤器方法 public void OnActionExecuting(ActionExecutingContext context) { // 获取request对象 HttpRequest request = context.HttpContext.Request; /...
.net的SQL参数传递实现
马如林的IT博客
03-24 2242
参考Petshop 4 设计(http://www.cnblogs.com/Files/ltc31/Microsoft%20.NET%20Pet%20Shop%204.0.rar),本文主要演示的是怎么准备参数和传递。数据库是Oracle。部分代码如下(用到的其他相关配置参见上篇文档):/**////         /// Execute a select query that will
ASP.NET2.0+sql server 网络应用开发详解
02-03
ASP.NET 2.0 + SQL Server 网络应用开发详解》这本书是针对使用ASP.NET 2.0SQL Server进行Web应用开发的详细指南。ASP.NET是Microsoft .NET框架的一部分,它提供了一种高效、面向对象的方式来构建动态网站、web...
OANet.rar_OANet_asp.net2_asp.net2.0 OA_sql2005
09-20
本篇文章将详细探讨OANet的核心特性、ASP.NET 2.0的关键技术以及SQL Server 2005在数据库管理的应用。 首先,我们来看OANet系统。OA系统是企业日常办公流程自动化的重要工具,它涵盖了文档管理、工作流审批、日程...
ASP.NET 2.0 的缓存机制详解
最新发布
06-27
ASP.NET 2.0的缓存机制是提升Web应用程序性能的关键技术之一,通过缓存技术,可以显著减少服务器对数据库或其他资源的访问次数,从而提高响应速度和整体性能。这份资源文件为开发者提供了深入理解ASP.NET 2.0缓存...
ASP.NET2.0数据库连接.doc
06-02
ASP.NET 2.0 使用 ODBC 数据源连接数据库需要进行以下步骤: * 附加数据库,然后在打开的窗口选择数据库,单击确定。 * 在 Web.config 文件添加数据库连接字段。 * 在 Default.aspx.cs 文件添加系统...
asp.net 获取select传到后台
u013795673的博客
03-08 3996
1.前台界面 所在地: 请选择省份 请选择市区 option value="county">请选择县乡   2.js function sech(id) {//省市改变时触发 var aa = document.getElementById(id); if(id=="sheng"){ var c = aa.selectedIndex;//获得改变后该省的索引号
Oracle数据库使用存储过程时对传入和传出参数使用说明
lllxy的专栏
08-11 5338
  1.         创建一个名称为BB的存储过程,根据传入的参数来获取一条记录.CREATE PROCEDURE BB @IDP INT  ASSELECT * FROM chatroom_info WHERE ID = @IDPGO 在查询分析器可以这样使用:    exec bb @IDP = 37; 2.         创建一个名称为abc的
ASP.NET参数SQL语句(SQL SERVER)
SpiderManSun的博客
03-24 2497
设计项目时,为了防止SQL注入,有很多种方法,一种是通过编写存储过程来防止SQL注入,使用这种方法可以提高性能,但是对于查询语句可能存在多种不同的SQL语句,这就要编写很多存储过程,还有一种方法是通过参数化,在这里只介绍一下SQL SERVER的。 先来介绍查询: 普通的查询语句(未将密码加密):   select top 1* from adminDB where username='...
程序后台获取web.configconnectionStrings 的方法
qinghecool的专栏
12-30 1万+
程序后台获取web.configconnectionStrings 的的方法 web.config使用数据库连接字符串的配置,
asp.net使用参数的存储过程
雁南飞的专栏
09-29 1247
CREATE PROCEDURE spAddShoppingCart   @user_id varchar(50),   @title_id varchar(6)AS    Declare @Title varchar(80), @Price moneyif exists(select * from ShoppingCart where title_id=@title_id) /* 
.net post提交后接收返回数据_在.net使用Dapper操作数据库(一)
weixin_39624700的博客
11-27 129
一、什么是Dapper?Dapper是一款轻量级的ORM,用于在程序数据库进行增删改查操作。二、Dapper有什么特点?1、配置简单。Dapper是开源的,可以在项目添加cs类文件进行引用,也可以直接引用dll。2、使用方便。增删改查操作非常简单,大大减少代码量。3、高性能。执行效率接近原生的ADO.NET,更是远远超过EF框架。三、在项目引入Dapper本例使用NuGet程序包安装。在V...
ASP.NET查询数据库
zcmain的专栏
01-06 2107
关于MySqlCommand的ExecuteNonQuery(),ExecuteScalar(),ExecuteReader方法的区别: 1、ExecuteNonQuery():        顾名思义:就是执行非查询类的语句,比如update和delete以及insert      ExecuteNonQuery() 执行查询不返回影响的行数,执行成功后返回 -1。
sql语句的or用法(及与and和in区别)
热门推荐
verry_body的博客
05-06 3万+
1.使用场景,例如,我们需要获取一条数据a等于1或a等于2的(同一个字段等于多个) select * from test where a = 1 or a = 2; 有些同学可能会问,为什么不使用in呢 如: select * from where a in (1,2); 当然这种方法也可以实现,但要考虑到自己的实际开发使用场景;而且在使用过程,or和in都在前提没有索引的情...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值