今天在用c#写个工具时候,为了解决sql防注入问题,查了一些资料,娘娘的,网上的资料很多是mysql,大家注意一下,在oracle中使用的话可能会报错。
注意:这是Mysql的,用@来绑定。
string sqlStr="select * from [Users] where UserName=@UserName and Password=@Password"
SqlCommand cmd = new SqlCommand(sqlStr,conn);
cmd.Parameters.AddWithValue("@UserName",txtUserName.Text.Trim());
cmd.Parameters.AddWithValue("@Password",txtUserPassword.Text.Trim());
如果是Oracle,用以下办法来:
OracleConnection oraconn = new OracleConnection(Gloable.oraString);
string sqlStr=@"select empno,sfz from empnotable where empno=:empno";
oraconn.Open();
OracleCommand cmd = new OracleCommand(sqlStr,oraconn);
cmd.Parameters.AddWithValue("empno",empno);