摘要： 简单的情况下，都是在前台输入要插入的数据，然后后台直接把输入的数据连接到SQL语句上，就很容易遭到SQL注入的问题。比如：string sql=”insert into category(name) values(‘ ”+name+” ’)"; //这样的数据输入是通过双引号进行的字符串拼接"+字符串 注入语句：aaa’)de... 阅读全文

摘要： 一般情况下，都放在需要连接数据库的方法中。但是，这种方法既不安全效率也不够高，当数据库连接改变时，则要修改后台的原始代码。public SQLHelper(){string connStr=@”server=niunan\sqlexpress;database=newssystem;uid=sa;pwd=123”; conn=new SqlConnection(connSt... 阅读全文