2012年5月22日

使用参数化查询防止SQL注入漏洞

摘要: SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。SQL注入的原理以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询:string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = ‘” + userName + “‘ AND Password = ‘” + password + “‘”;其中userName和password两个变量的值是由用户输入的。在userName和password都合法的情况下,这自然没有问题,但是 用户输入是不可信的,一些恶 阅读全文

posted @ 2012-05-22 23:47 WestGarden 阅读(191) 评论(0) 推荐(0) 编辑

至于你信不信,我反正是信了——以类为单位的编程思想

摘要: QQ交流群:13033480如果我说,类就是一个人,你会信吗?让我们来看看,你是怎么打开数据库的...一、打开和关闭数据库 你需要知道这么几个信息:你要连接的是哪台机器(机器名:SPXY-WYH);你要采取什么身份验证方式(Window身份验证方式,还是SQL Server身份验证方式);如果你是个负责任的人,你还需要知道你要连接哪个数据库(NetShop)。好了,我可以用字符串的方式告诉你吗?1、连接字符串string connectionString = "Server=SPXY-WYH;Database=NetShop;Trusted_Connection=SSPI" 阅读全文

posted @ 2012-05-22 05:20 WestGarden 阅读(3012) 评论(59) 推荐(4) 编辑

导航