⼀、常⽤的sql语句写法
1、 ## 直接写⼊的对于⾮值类型字符串,两边各加⼀个单引号(')
例如
strsql = "update tuser set fpwd = '" + Md5Encryption.GenerateMD5(txtConfirmPwd.Text) + "' where fcode = '"+PropertyClass.UserCode+"'";
因为PropertyClass.UserCode为字符串,非直接值类型所以
在"+PropertyClass.UserCode+"两边各加⼀个单引号(')来实现,
2.占位符的字符串拼接
strsql = "update tuser set fpwd = '{0}' where fcode = '{1}'";strsql = string.Format(strsql, Md5Encryption.GenerateMD5(txtConfirmPwd.Text), PropertyClass.UserCode);
以上,在实际开发中,直接写字符串或使⽤占位符的⽅式,会有潜在的被sql注⼊式攻击的危险。
解决方法:
⼆、可通过带参数的SQL语句和存储过程实现。
例:
strsql = "update tuser set fpwd=@p1 where fcode=@p2";FbParameter[] param = new FbParameter[]{new FbParameter("@p1",Md5Encryption.GenerateMD5(txtConfirmPwd.Text)),new FbParameter("@p2", PropertyClass.UserCode),};try{/* 调用执行封装的SQL命令函数*/if(db.ExecDataBySql(strsql,param) > 0){}}/*封装的执行SQL命令的函数*/public int ExecDataBySql(string strSql, FbParameter[] param = null){int intReturnValue;mandType = CommandType.Text;mandText = strSql;try{if(m_Conn.State == ConnectionState.Closed){m_Conn.Open();}if(param != null){m_Cmd.Parameters.AddRange(param);}intReturnValue = m_Cmd.ExecuteNonQuery();}catch(Exception e){throw e;}finally{m_Conn.Close(); //连接关闭,但不释放掉该对象所占的内存单元}return intReturnValue;}
FbParameter的两个⽅法
1,Add⽅法
FbParameter
sp = new FbParameter(“@name”,“lisi”);
m_cmd.Parameters.Add(sp);
sp= new SqlParameter(“@ID”,“1”);
m_cmd.Parameters.Add(sp);
2,AddRange⽅法
FbParameter[]
params = new SqlParameter[]
{ new SqlParameter(“@name”,“zhangsan”),new SqlParameter(“@ID”,“1”)
};
m_cmd.Parameters.AddRange(params);