ado.net中用参数化SQL语句防止SQL注入

用ado.net和数据库打交道,再不用存储过程的时候,使用参数化Sql语句可以在一定程度上防止sql注入。

 

 
  
1 public bool IsInsert( string userName, string password, string remark, string mail, int departId, int power)
2 {
3 string sql = " insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power) " ;
4 SqlConnection connection = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings[ "" ].ToString());
5 SqlCommand command = new SqlCommand(sql, connection);
6 command.Parameters.Add( " @UserName " ,SqlDbType.NVarChar, 60 ).Value = userName;
7 command.Parameters.Add( " @Password " , SqlDbType.NVarChar, 60 ).Value = password;
8 command.Parameters.Add( " @Remark " , SqlDbType.NVarChar, 60 ).Value = remark;
9 command.Parameters.Add( " @Mail " , SqlDbType.NVarChar, 60 ).Value = mail;
10 command.Parameters.Add( " @DepartId " , SqlDbType.Int, 4 ).Value = departId;
11 command.Parameters.Add( " @Power " , SqlDbType.Int, 4 ).Value = power;
12 connection.Open();
13 int rowsAffected = command.ExecuteNonQuery();
14 connection.Close();
15 command.Dispose();
16 return rowsAffected > 0 ;
17
18 }

 

 

 

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/asdlx/archive/2010/05/14/1735410.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值