自己毕业设计中数据库连接问题

在知道有参数化SQL语句后,前去看了自己的毕业设计,测试下有否漏洞

string sql = string.Format("SELECT COUNT(*) FROM Users WHERE Id={0} AND LoginPwd = '{1}'",
                        txtLoginId.Text.Trim(), Md5.MD5(txtLoginPwd.Text.Trim()));
                    // 创建Command 对象
                    SqlCommand command = new SqlCommand(sql, DBHelper.connection);
                    DBHelper.connection.Open();  // 打开数据库连接
                    num = Convert.ToInt32(command.ExecuteScalar());

测试后,还没找到漏洞,因为这里的id要求是数字,pwd经过md5加密,与sql语句没有合成sql注入.

posted @ 2013-03-29 10:38  Jimmy_5  阅读(204)  评论(0编辑  收藏  举报