注入攻击就是利用sql语句特点使得条件恒成立,若要避免SQL注入漏洞攻击,就应该使用参数化查询。 如:
string sql = string.Format("SELECT COUNT(*) FROM hr_LoginUser " + "where LoginID=@id and pwd=@pwd and Role=@role");
SqlCommand command = new SqlCommand(sql, DBHelper.conn);
//操作数据库
command.Parameters.Add("@id", SqlDbType.NVarChar, 20).Value = txtLogin.Text;
command.Parameters.Add("@pwd", SqlDbType.NVarChar, 20).Value = txtPassword.Text;
command.Parameters.Add("@role", SqlDbType.Int).Value = 0;
|