首先也要明白一點,什么是SQL注入
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意的)SQL命令注入到后台數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。
1.直接參數化,那么在直接處理SQL語句時,把值給傳遞過來的時候,我們不要直接進行賦值,而是要把這些字段的值參數化,然后再進行賦值,后續還有其他的處理方式待補充,我也需要做個驗證
cmd.CommandText = @"select count(*) from UserInfo where UserName=@UserName and UserPwd=@UserPwd"; cmd.Parameters.AddWithValue("@UserName",txtUserName.Text); //SQL參數化 cmd.Parameters.AddWithValue("@UserPwd",txtUserPwd.Text); object result = cmd.ExecuteScalar();