那些遇到过的问题

如何使用SQL参数从SQL Server获取数据集

Fad*_*lil 4 c# sql sql-server sql-injection sqlparameter

我正在研究C#项目,我是这项技术的新手.

我想从SQL Server 2008中读取一些数据,然后编写以下代码

public User select(string username, string password)
{
    string connection = ConfigurationManager.ConnectionStrings["lawyersDBConnectionString"].ConnectionString.ToString();
    string sql = string.Format("select * from users where userName = '{0}' and password = '{1}'", username, password);

    SqlConnection con = new SqlConnection();            
    con.ConnectionString = connection;

    DataSet ds = new DataSet();
    SqlDataAdapter da = new SqlDataAdapter(sql, con);            

    User user = new User();
    DataRow dr;

    try
    {
            da.Fill(ds);
            dr = ds.Tables[0].Rows[0];

            user.Id = Convert.ToInt16(dr["userID"]);                
            user.FirstName = (string)dr["firstName"];
            user.LastName = (string)dr["lastName"];
            user.Email = (string)dr["email"];
            user.Username = (string)dr["userName"];
            user.Password = (string)dr["password"];
            user.type = (string)dr["type"];

            return user;
    }
    catch (Exception ex)
    {                
            return null;
    }
}//end of select method
Run Code Online (Sandbox Code Playgroud)

但我读过一篇关于SQL注入的文章,我想使用SQL参数来避免这种情况,但我不知道如何.

Ste*_*eve 9

这是对代码的简单修改.未经测试,但基本上它包括在一次性对象周围添加using语句以及使用SqlCommand及其参数集合

string connection = ConfigurationManager.ConnectionStrings ["lawyersDBConnectionString"].ConnectionString.ToString();
string sql = "select * from users where userName = @uname and password = @pwd";

 DataSet ds = new DataSet();
 using(SqlConnection con = new SqlConnection(connection))
 using(SqlCommand cmd = new SqlCommand(sql, con))
 {
    con.Open();
    cmd.Parameters.AddWithValue("@uname", username);
    cmd.Parameters.AddWithValue("@pwd", password);

    using(SqlDataAdapter da = new SqlDataAdapter(cmd))
    {
         User user = new User();
         DataRow dr;
         da.Fill(ds);
         dr = ds.Tables[0].Rows[0];

         user.Id = Convert.ToInt16(dr["userID"]);                
         user.FirstName = (string)dr["firstName"];
         user.LastName = (string)dr["lastName"];
         user.Email = (string)dr["email"];
         user.Username = (string)dr["userName"];
         user.Password = (string)dr["password"];
         user.type = (string)dr["type"];
         return user;
    }
}
Run Code Online (Sandbox Code Playgroud)

请注意命令文本不直接包含用户和密码的字符串,而是一个简单的参数占位符(@uname and @pwd).将参数添加到SqlCommand集合时,这些占位符称为参数名称.

看看检索到的数据的用法我强烈建议你看看像Dapper这样的简单ORM工具可以直接翻译User对象中的所有代码

归档时间:

查看次数:

20967 次

最近记录:

6 年,3 月 前
相关归档
C#中是否有任何JSON Web令牌(JWT)示例? 100
如何以编程方式确定SQL表具有标识列的内容 97
System.Drawing.Image流C# 70
实体框架中join子句中的一个表达式的类型不正确 54
WPF网格的底部边框 39
ReSharper for C++ 39
SQL Server备份/恢复与分离/附加 35
将INT更改为BigInt 28
用于在Oracle中搜索对象(包括存储过程)的SQL 25
Azure SQL数据库中的SQL Server Telegraf插件需要哪些授权 16
难疑归档
使用Git将最近的提交移动到新分支 4647
For-each在JavaScript中的数组? 4448
如何从Bash脚本检查程序是否存在? 2032
为什么在数组迭代中使用"for ... in"是一个坏主意? 1761
为什么这段代码使用随机字符串打印"hello world"? 1733
什么是JavaBean? 1677
插入...值(SELECT ... FROM ...) 1340
对JavaScript对象数组进行排序 1233
JavaScript中是否有常量? 1118
在JavaScript中将Unix时间戳转换为时间 1054