最近学习数据库,遇到一个有意思的事,就是SQL注入攻击
这是我的一个小程序,连接着数据库,如图,登不进去,可是……
在我加了一点东西后……
我就这么登进去了!
如果我在后面加个 drop…………
所以要最好使用带参数的Sql语句
string sql = "select count(*) from 表 where 列名=@变量名";
SqlParameter[] pms = new SqlParameter[]{
new SqlParameter("@变量名",变量类型) { Value = 值}
};
就是这样
转载请注明原文地址: https://ju.6miu.com/read-224185.html