【数据库】防止SQL注入

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

利用参数化防止SQL注入！

        public bool seltwouser(model.users model)
        {
            using (SqlConnection cons = con.getconn())
            {
                using (SqlCommand com = new SqlCommand())
                {
                    cons.Open();
                    com.Connection = cons;
                    com.CommandText = "select * from T_User where UserName=@username";
                    com.Parameters.Add(new SqlParameter("username", model.UserName));
                    using (SqlDataReader read = com.ExecuteReader())
                    {
                        if (read.Read())
                        {
                            string username = read["UserName"].ToString();
                            if ( username == model.UserName)
                            {
                                return true;
                            }
                            else
                            {
                                return false;
                            }
                        }
                        else
                        {
                            return false;
                        }
                    }
                }
            }
        }