当前位置：首页 > 数据库 > ADO > 正文内容

SqlCommand的Parameters属性

小道7年前 (2018-08-28)ADO6022

SqlCommand的Parameters属性：获得与该命令关联的参数集合

            using (SqlConnection conn =new SqlConnection(@"Data Source=(LocalDB)\MSSQLLocalDB;AttachDBFilename=|DataDirectory|\Database1.mdf;integrated Security=True;User Instance=false"))
            {
                conn.Open();//打开数据库
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    //错误写法开始——
                    //cmd.CommandText = "select count(*) from 用户 where 帐号='" + yhm + "'"+"and 密码='" + mm + "'";  //错误示例。如果密码输出： 1' or '1' = '1  可以登录成功。造成SQL注入漏洞攻击
                    //错误写法结束——

                    //正确写法开始——
                    cmd.CommandText = "select count(*) from 用户 where 帐号=@UN and 密码=@P";
                    cmd.Parameters.Add(new SqlParameter("UN",yhm));
                    cmd.Parameters.Add(new SqlParameter("P",mm));
                    //正确写法结束——

                    int i = Convert.ToInt32(cmd.ExecuteScalar());
                    if (i > 0)
                    {
                        Console.WriteLine("登录成功！");
                    }
                    else
                    {
                        Console.WriteLine("用户名或密码错误！");
                    }
                }
            }

错误写法输出结果：

错误的写法获得的是

where 条件就变成了帐号=admin 并且密码=1 或者 1=1 这样就为真了。那么就返回一个大于0的数了。就登录成功了。

正确写法输出结果：

扫描二维码推送至手机访问。

本文链接：https://daobk.com/post/84.html

标签: MSSQL 数据库基础 ADO

分享给朋友：

返回列表

上一篇：使用ADO连接数据库：判断用户输入的帐号和密码是否正确

下一篇：基于数据库登录判断。

“SqlCommand的Parameters属性” 的相关文章

ADO.NET介绍

一种程序对象，用于表示用户数据库中的数据结构和所包含的数据。在Microsoft Visual Basic编辑器中，可以使用ADO对象以及ADO的附加组件（称为Microsoft ADO Extensions for DLL and Security(ADOX)）来创建或修改表和查询、检验数据库、或...