如果需要防止SQL注入,可以用SQL参数变量来传递记录值,这可以有效的防止SQL注入,下面就将为您介绍此方法,供您参考,希望对您学习SQL变量的使用能够有所启迪。
public int ExecuteNonQuery(string sql,SqlParameter[]paras)
{
int res;
using (cmd = new SqlCommand(sql, Getconn()))
{
//cmd.Parameters.Add(new SqlParameter("@textcaname","最真的梦"));
// cmd.Parameters.AddRange(new SqlParameter[]{
// new SqlParameter("@textcaname","南宁新闻")
// });
cmd.Parameters.AddRange(paras);
res = cmd.ExecuteNonQuery();
}
return res;
}
代码说明:此方法用来执行传入的带有SQL数组参数变量的SQL语句
public bool insert(string textcaname)
{
bool flag = false;
string sql = "insert into category (caname) values(@textcaname)";
SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@textcaname",textcaname)
};
int res = sqlhelper.ExecuteNonQuery(sql, paras);
if (res > 0)
{
flag = true;
}
return flag;
}#p#
代码说明:
string sql = "insert into category (caname) values(@textcaname)";
此是带有SQL参数变量的SQL语句
SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@textcaname",textcaname)
};
把从文本框输入的记录值赋给数组参数中的SQL变量
运行效果:
【编辑推荐】