2013年3月27日
参数化SQL语句
摘要: 在刚弄好登录的时候,姐夫帮忙看了后,提醒我有漏洞,我也想起了以前老师也讲过的SQL注入,例如string sql = string.Format("SELECT COUNT(*) FROM demoUsers WHERE UserName='{0}' AND UserPassword = '{1}'", textBox1.Text.Trim(), textBox2.Text.Trim());那么可以在登录框中输入:XXX' or 1==1--,这边是漏洞,于是就有了接下来参数化sql语言的修改。1 //新建查询语句... 阅读全文
posted @ 2013-03-27 14:06 Jimmy_5 阅读(550) 评论(0) 推荐(0) 编辑