通过参数传递:
string sql = "select count(*) from zhuce where username=@username and pwd=@pwd and type = @type";
SqlConnection conn = new SqlConnection(Common.Context.SqlManager.CONN_STRING);
conn.Open();
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.Parameters.Add("@username",SqlDbType.VarChar,30);
cmd.Parameters.Add("@pwd",SqlDbType.VarChar,30);
cmd.Parameters.Add("@type",SqlDbType.VarChar,10);
cmd.Parameters["@username"].Value = username;
cmd.Parameters["@pwd"].Value = pwd;
cmd.Parameters["@type"].Value = power.Text;
int count = Convert.ToInt32(cmd.ExecuteScalar());
conn.Close();
不知道你用的是什么数据库
给你一段SQL-Server的代码
防止注入式攻击,最重要的是不要用拼接参数方式,使用参数赋值方式。
SqlConnection conn=......
SqlCommand comm =new SqlCommand ("select count (*)from Table1 where name = @loginame and password = @loginpassword",conn);
comm.Parameters.Add(new SqlParameter("@loginame",SqlDbType.NVarchar,20);
comm.Parameters["@loginame"].value=TextBox1.Text;
comm.Parameters.Add(new SqlParameter("@loginpassword",SqlDbType.NVarchar,20);
comm.Parameters["@loginpassword"].value=TextBox2.Text;
comm.Connection.Open();
int mark=(int)comm.ExecuteScalar()
//--mark用于标记 |