第一步、创建连接字符串string connectionString="Data Source= xxx;Initial Catelog= xxx; Integrated Security=True";第二部、创建连接对象SqlConnection con=new SqlConnection(connectionString);第三步、创建Sql语句string sql=string.Format("XXX");第四步、创建执行对象SqlCommand cmd=new SqlCommand(sql,con);第五步、打开数据库con.open();第六步、执行cmd.ExecuteNonQuery|ExecuteScalar|ExecuteDataReader//附加参数 (1)SqlParameter[] params=new SqlParameter[]{ new SqlParameter("@uid",uid.Text.Trim()); new SqlParameter("@pwd",pwd.Text.Trim());};//附加参数(2)cmd.Parameters.AddWithValue("@uid",uid.Text.Trim())cmd.Parameters.AddWithValue("@pwd",pwd.Text.Trim())//附加参数(3)SqlParameter p1=new SqlParameter("@uid",uid.Text.Trim());cmd.Add(p1);SqlParameter p2=new SqlParameter("@pwd",pwd.Text.Trim());cmd.Add(p2);--如何进行防治注入Sql共计,采用参数进行,而非拼接字符串Sql
浙公网安备 33010602011771号