一般在用户的登录界面常会遇到sql注入漏洞问题(在文本框输入:'1' OR '1' = '1')
出现条件永真的情况。
解决方法:利用SqlCommand 参数设置。在sql语句中如有like需要%过滤时,可以在参数中设置(加入‘%’)
SqlCommand cmd = new SqlCommand(@"select count(1) from SYS_CA where BZ like @Txt_CompanyName and USERNAME = @Txt_UserName and PASSWORD = @Txt_Password", conn);
cmd.Parameters.AddWithValue("@Txt_CompanyName", '%'+Request["Txt_CompanyName"]+'%');cmd.Parameters.AddWithValue("@Txt_UserName", Request["Txt_UserName"]);
cmd.Parameters.AddWithValue("@Txt_Password", Request["Txt_Password"]);