上次看了杨老师的视屏上那个防止SQL注入，自己还不太清楚，谁能再跟我解释一下什么是SQL注入，应该如何防止啊？能举例说明更好，谢谢啦！

sql注入是由于拼接sql语句引起的。如你的sql语句的条件是不确定的（where部分），需要用户输入来确定的。你可以通过字符串拼接的方式实现。但是，这拼接的方式涉及到条件部分时，就不安全了。如select * from where user=@user；别人就可以给user赋上“xxx or 1=1”使语句永远为真。所以，涉及到条件部分不要拼接。

今天晚上，刚学了，很好理解，重点是，那个SQL语句，
select count(*) from where username='"+ name +"' and password='"+ pass +"'
正常情况是：
用户输入：admin 8888
select count(*) from where username='admin' and password='888888'

如果用户输入：admin 1' or  '1'='1 SQL 语句就变成，（888888 换成1' or  '1'='1）
select count(*) from where username='admin' and password='1' or  '1'='1' 这个SQL语句，
你运行这个，就读出二个记录。

1.               
   
2. 
   
3.                 //第三种，最佳方式。
   
4.                 using(SqlCommand cmd = conn.CreateCommand())
   
5.                 {
   
6.                     cmd.CommandText = "select count(*) from T_Users where username=@uname and password=@pwd";
   
7.                     cmd.Parameters.Add(new SqlParameter("uname",name));
   
8.                     cmd.Parameters.Add(new SqlParameter("pwd", pass));
   
9.                     int i = Convert.ToInt32(cmd.ExecuteScalar());
   
10.                     if (i > 0)
    
11.                     {
    
12.                         Console.WriteLine("登陆成功！");
    
13.                     }
    
14.                     else
    
15.                     {
    
16.                         Console.WriteLine("登陆失败，用户名或密码错误。");
    
17.                     }
    
18.                 }
    
19.             
    
20.             
    
21.          
    

复制代码

这样写，就可以防止SQL注入了。

Parameters这个属性可以把你传入的值直接和数据库里的值进行比较。

其实，就是防止别人把他输入的东西当成了SQL语句。。。

我的具体看法请参见我的博客：http://www.cnblogs.com/xu-qian-gang/archive/2011/11/24/2262250.html