浅谈SQL注入(拼接字符串注入)
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data;插入方法类代码:Public Class categoryDAO{Private Sqlhelper sqlhelper=null;Public categoryDAO(){ sqlhelper=new Sqlhelper();} Public bool insert(string caName){Bool flag=false;String sql=”insert into 表名(字段名)values(@caName)”;SqlParameter[]paras=new SqlParameter[]{New Sqlparameter(”@caName”,caName)}Int res=sqlhelper.executeNonQuery(sql,paras);If(res>0){Flag=true}Return flag} }上面是代码,写的也就是用一个@caName的变量来替换一下拼接的Sql语句,还有在用@caName变量的时候必须要有一个可以存储这个变量的类,所以就引入了SqlParameter这个类来存储这个变量,他的用法 大家自己去查一下或是直接在vs的编译器里面看他的类的参数的解释就可以了,很容易理解。别的就不说了,就到这里把! 谢谢大家用了这么长的时间看我的东西!走的时候留下一个评论哦! 嘿嘿!