所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
利用参数化防止SQL注入!
public bool seltwouser(model.users model)
{
using (SqlConnection cons = con.getconn())
{
using (SqlCommand com = new SqlCommand())
{
cons.Open();
com.Connection = cons;
com.CommandText = "select * from T_User where UserName=@username";
com.Parameters.Add(new SqlParameter("username", model.UserName));
using (SqlDataReader read = com.ExecuteReader())
{
if (read.Read())
{
string username = read["UserName"].ToString();
if ( username == model.UserName)
{
return true;
}
else
{
return false;
}
}
else
{
return false;
}
}
}
}
}