• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    数据库SqlParameter 的插入操作,防止sql注入的实现代码

    例子:  点击Button1按钮的时候就把数据插入数据库中。

    复制代码 代码如下:

    using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Web.UI;
    using System.Web.UI.WebControls;
    using System.Text;
    using System.Data.SqlClient;
    using System.Data;
    using System.Configuration;

    namespace ParaMeter
    {
        public partial class Test : System.Web.UI.Page
        {
            private string connectionStr;  //链接数据库的字符串
            private SqlConnection conDB;   //数据库的链接
            private SqlTransaction _trans; //事务对象

            protected void Page_Load(object sender, EventArgs e)
            {
                //connectionStr = ConfigurationSettings.AppSettings["constr"];
                connectionStr = "server=10.11.43.189\\SQL2008;database=OA_WEB_DB;uid=sa;pwd=123456";
                conDB = new SqlConnection(connectionStr);
            }

            protected void Button1_Click(object sender, EventArgs e)
            {
                StringBuilder strSql = new StringBuilder();
                strSql.Append("INSERT INTO [OA_WEB_DB].[dbo].[OA_RT_FileType]([FileTypeName],[Deleted])");
                strSql.Append("VALUES(@fileName,@delete)");
                SqlParameter[] parameters = {
                                     new SqlParameter("@fileName", SqlDbType.NVarChar,100),
                                     new SqlParameter("@delete",SqlDbType.Bit),

                                 };
                parameters[0].Value = "文件类型";
                parameters[1].Value = false;
              bool IsSucc =   ExecUpdateSql(strSql.ToString(), parameters);
              if (IsSucc)
              {
                 Label1.Text =  "插入成功";
              }
              else
              {
                  Label1.Text = "插入失败";
              }

            }
            /// 执行一条更新语句
            /// /summary>
            /// param name="SQLString">需要执行的SQL语句。/param>
            /// param name="cmdParms">执行参数数组/param>
            /// returns>成功返回True,失败返回False。/returns>
            private bool ExecUpdateSql(string SQLString, params SqlParameter[] cmdParms)
            {
                using (SqlCommand cmd = new SqlCommand())
                {
                    try
                    {
                        PrepareCommand(cmd, conDB, _trans, SQLString, cmdParms);
                        int iret = cmd.ExecuteNonQuery();
                        return true;
                    }
                    catch (System.Data.SqlClient.SqlException e)
                    {
                        return false;
                    }
                }
            }
            private void PrepareCommand(SqlCommand cmd, SqlConnection conn, SqlTransaction trans, string cmdText, SqlParameter[] cmdParms)
            {
                if (conn.State != ConnectionState.Open)
                    conn.Open();
                cmd.Connection = conn;
                cmd.CommandText = cmdText;
                if (trans != null)
                    cmd.Transaction = trans;
                cmd.CommandType = CommandType.Text;//cmdType;
                if (cmdParms != null)
                {
                    foreach (SqlParameter parameter in cmdParms)
                    {
                        if ((parameter.Direction == ParameterDirection.InputOutput || parameter.Direction == ParameterDirection.Input)
                            (parameter.Value == null))
                        {
                            parameter.Value = DBNull.Value;
                        }
                        cmd.Parameters.Add(parameter);
                    }
                }
            }

        }
    }

    您可能感兴趣的文章:
    • asp.net 防止SQL注入攻击
    • SQL注入中绕过 单引号 限制继续注入
    • asp.net下检测SQL注入式攻击代码
    • asp.net 预防SQL注入攻击之我见
    • asp.net利用HttpModule实现防sql注入
    • asp.net(C#)防sql注入组件的实现代码
    • SQL数据库的高级sql注入的一些知识
    • 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)
    • c#.net全站防止SQL注入类的代码
    • C#防SQL注入代码的三种方法
    • 防御SQL注入的方法总结
    • ASP.NET过滤类SqlFilter,防止SQL注入
    上一篇:asp.net url重写的好处与方法
    下一篇:ajax.net对数据库的插入实例
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    数据库SqlParameter 的插入操作,防止sql注入的实现代码 数据库,SqlParameter,的,插入,