标签:like tor sql语句 4.4 sql注入 并且 注入 store 字段
1.using(要释放的对象 对象名=new 要释放的对象()){}
2.设置参数化命令,避免sql注入
2.1 设置占位符【不要写单引号,名字尽量和字段名保持一致,like时 ‘%‘+@名字+‘%‘】
2.2 创建SqlParameter对象,给占位符赋值,可以创建单个对象或者数组对象
2.3 command对象的Parameters添加 Add或者AddRange
3.程序调用存储过程
3.1 sql语句替换成存储过程名字
3.2 command的CommandType类型=CommandType.StoredProcedure
[TableDirect:表名,Text:sql语句;StoredProcedure:存储过程]
4.程序调用带输出参数的存储拖车
4.1 sql语句替换成存储过程名字
4.2 command的CommandType类型=CommandType.StoredProcedure
4.3 创建SqlParameter对象,给存储过程的参数赋值,可以创建单个对象或者数组对象
4.4 输出参数必须单独创建对象,并且设Direction=ParameterDirection.Output,给其长度和数据类型
【记得添加到Parameters里,所有的Parameter对象记得添加到command的Parameters里】
4.5 获取输出参数的值 object outVal=输出参数.Value
标签:like tor sql语句 4.4 sql注入 并且 注入 store 字段
原文地址:http://www.cnblogs.com/hnwangcong/p/6867976.html
