本文通过一个实验展示了如何在C#中利用SqlParameter来构造SQL查询,以避免SQL注入风险。示例中,根据用户输入动态构建SQL字符串,并为每个参数创建SqlParameter对象,确保数据安全。最后,使用SqlDataAdapter填充DataTable获取查询结果。
String connString = ConfigurationManager.ConnectionStrings["DatabaseConnectionString"].ConnectionString;//取得连接字符处
String sqlString = "select * from teacher where name=@NAME and password=@PASSWORD";//SQL查询字符串
if (this.ddlIsManager.SelectedIndex > 0)
{
sqlString += " and isManager = 'true'";
}
//声明数据连接对象和数据访问对象
SqlConnection connection = new SqlConnection(connString);
SqlCommand command = new SqlCommand(sqlString,connection);
//声明SQL查询参数并对其赋值然后将其加入Command对象,以防止SQL注入攻击。
SqlParameter parameterName = new SqlParameter("@NAME",SqlDbType.VarChar);//@变量+数据类型
parameterName.Value = this.txtUserName.Text;
SqlParameter parameterPassword = new SqlParameter("@PASSWORD", SqlDbType.VarChar);
parameterPassword.Value = this.txtPassword.Text;
command.Parameters.Add(parameterName);
command.Parameters.Add(parameterPassword);
if (Boolean.Parse(ddlIsManager.SelectedValue))
{
sqlString += "and isManager=@ISMANAGER ";
SqlParameter parameterIsManager = new SqlParameter("@ISMANAGER", SqlDbType.Bit);
parameterIsManager.Value = true;
command.Parameters.Add(parameterIsManager);
}
//查询数据库取得数据;
SqlDataAdapter adapter = new SqlDataAdapter(command);
DataTable dtData = new DataTable();
adapter.Fill(dtData);
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
