执行带参数的sql语句的安全方式(防止注入)
string sql="select count(*) from Table_name where name=@name and passWord=@passWord";
using(SqlConnection con=new SqlConnection(string str));//str为连接字符串
{
using(SqlCommand cmd=new Sqlcommand(sql))
{
con.Open();
cmd.Parameters.AddWithValue("@name",string str1);
cmd.Parameters.AddWithValue("@passWord",string str2);
object obj=cmd.ExecuteNonQuery();
}
}
Parameters:
英译:参数.
官方注解:获取System.Data.SqlClient.SqlParameterCollection.
方法:AddWithValue(“”,”“)
官方注解:向System.Data.SqlClient.SqlParameterCollection的末尾添加值.
第一项直接添加”@..”
和数据库中使用的方法类似.,后面直接填值,object.