⼀、常⽤的sql语句写法
1、 ## 直接写⼊的对于⾮值类型字符串,两边各加⼀个单引号(')
例如
strsql = "update tuser set fpwd = '" + Md5Encryption.GenerateMD5(txtConfirmPwd.Text) + "' where fcode = '"+PropertyClass.UserCode+"'";
因为PropertyClass.UserCode为字符串,非直接值类型所以
在"+PropertyClass.UserCode+"两边各加⼀个单引号(')来实现,
2.占位符的字符串拼接
strsql = "update tuser set fpwd = '{0}' where fcode = '{1}'";
strsql = string.Format(strsql, Md5Encryption.GenerateMD5(txtConfirmPwd.Text), PropertyClass.UserCode);
以上,在实际开发中,直接写字符串或使⽤占位符的⽅式,会有潜在的被sql注⼊式攻击的危险。
解决方法:
⼆、可通过带参数的SQL语句和存储过程实现。
例:
strsql = "update tuser set fpwd=@p1 where fcode=@p2";
FbParameter[] param = new FbParameter[]
{
new FbParameter("@p1",Md5Encryption.GenerateMD5(txtConfirmPwd.Text)),
new FbParameter("@p2", PropertyClass.UserCode),
};
try
{
/* 调用执行封装的SQL命令函数*/
if(db.ExecDataBySql(strsql,param) > 0)
{}
}
/*封装的执行SQL命令的函数*/
public int ExecDataBySql(string strSql, FbParameter[] param = null)
{
int intReturnValue;
m_Cmd.CommandType = CommandType.Text;
m_Cmd.CommandText = strSql;
try
{
if(m_Conn.State == ConnectionState.Closed)
{
m_Conn.Open();
}
if(param != null)
{
m_Cmd.Parameters.AddRange(param);
}
intReturnValue = m_Cmd.ExecuteNonQuery();
}catch(Exception e)
{
throw e;
}
finally
{
m_Conn.Close(); //连接关闭,但不释放掉该对象所占的内存单元
}
return intReturnValue;
}
FbParameter的两个⽅法
1,Add⽅法
FbParameter
sp = new FbParameter(“@name”,“lisi”);
m_cmd.Parameters.Add(sp);
sp= new SqlParameter(“@ID”,“1”);
m_cmd.Parameters.Add(sp);
2,AddRange⽅法
FbParameter[]
params = new SqlParameter[]
{ new SqlParameter(“@name”,“zhangsan”),new SqlParameter(“@ID”,“1”)
};
m_cmd.Parameters.AddRange(params);