我不支持这种做法,如果人家输入的是带“'”的字符串,那么Sql语句就会出问题。
如果是在登录的时候,输入带“'”的密码,也可以跳过验证。
欢迎光临我的博客: http://smallfools.blog./default.html
我不支持这种做法,如果人家输入的是带“'”的字符串,那么Sql语句就会出问题。
如果是在登录的时候,输入带“'”的密码,也可以跳过验证。
举个例吧。注意红色的地方。
这样的话,无论在TextBox1里输入的是什么字符串都是没关系的。
private void Button1_Click(object sender, System.EventArgs e)
{
string strSql = "Select * from 产品 where 产品名称=@qpmc";
conn.Open();
OleDbCommand myCommand = new OleDbCommand(strSql,conn);
myCommand.Parameters.Add("@qpmc",System.Data.OleDb.OleDbType.VarChar,50);
myCommand.Parameters["@qpmc"].Value = this.TextBox1.Text;
OleDbDataAdapter myAdapter = new OleDbDataAdapter(myCommand);
DataSet ds = new DataSet();
myAdapter.Fill(ds,"test");
conn.Close();
this.DataGrid1.DataSource = ds.Tables[0].DefaultView;
this.DataGrid1.DataBind();
}