SQL注入漏洞攻击

l-> 对于用户登录的实现，提供SQL语句

•-> select * from 表名 where uid=… and pwd=…

•-> 使用字符串拼接

l-> 提供密码为：’or’1’=’1’

l-> 防范注入漏洞攻击的方法就是使用参数查询

l

 

l查询参数

l-> 提供SqlParameter对象处理参数比较

l-> SqlParameter提供两个参数

•-> 参数别名

•-> 参数值

l-> SqlCommand提供一个Parameter属性

•-> 该属性表示SqlParameter的集合

•-> 使用Add方法添加（记得new）

•-> AddWithValue方法

•-> 不使用要清空

l-> SQL语句中直接使用参数别名

•-> 参数在SQLServer内部不是简单的字符串替换

•-> SQLServer直接用添加的值进行数据比较

l

 

l问题：

lnew SqlParameter(“参数名”,“值”);

lnew SqlParameter(“@id”,0);有问题？

l报错信息：参数化查询 ‘(@tid bigint)insert into tblT1 values(@tid)’ 需要参数 ‘@tid’，但未提供该参数。

l2.app.config文件的位置。