浅谈SQL注入（拼接字符串注入）

using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data;插入方法类代码:Public Class categoryDAO{Private Sqlhelper sqlhelper=null;Public categoryDAO(){   sqlhelper=new Sqlhelper();} Public bool insert(string caName){Bool flag=false;String sql=”insert into 表名（字段名）values（@caName）”;SqlParameter[]paras=new SqlParameter[]{New Sqlparameter（”@caName”,caName）}Int res=sqlhelper.executeNonQuery(sql,paras);If(res>0){Flag=true}Return flag}  }

          上面是代码，写的也就是用一个@caName的变量来替换一下拼接的Sql语句，还有在用@caName变量的时候必须要有一个可以存储这个变量的类，所以就引入了SqlParameter这个类来存储这个变量，他的用法 大家自己去查一下或是直接在vs的编译器里面看他的类的参数的解释就可以了，很容易理解。别的就不说了，就到这里把！ 谢谢大家用了这么长的时间看我的东西！走的时候留下一个评论哦！ 嘿嘿！

1楼linlin8023061945分钟前

V5~~~哈哈~~~