自己毕业设计中数据库连接问题
在知道有参数化SQL语句后,前去看了自己的毕业设计,测试下有否漏洞
string sql = string.Format("SELECT COUNT(*) FROM Users WHERE Id={0} AND LoginPwd = '{1}'", txtLoginId.Text.Trim(), Md5.MD5(txtLoginPwd.Text.Trim())); // 创建Command 对象 SqlCommand command = new SqlCommand(sql, DBHelper.connection); DBHelper.connection.Open(); // 打开数据库连接 num = Convert.ToInt32(command.ExecuteScalar());
测试后,还没找到漏洞,因为这里的id要求是数字,pwd经过md5加密,与sql语句没有合成sql注入.