protected void Button1_Click(object sender, EventArgs e) { string strSql="insert into Invoice_Rebate_Customer_L (FORM_ID,LINE_NO) values (@formNo,@lineNo)"; SqlParameter[] paras =new SqlParameter[2]; paras[0] = new SqlParameter("@formNo&quo…

动态向SqlParameter 里添加相应参数,方法如下 先定义一个List,然后再往List里面添加SqlParameter对象,然后将List转为SqlParameter数组即可 List<SqlParameter> ilistStr = new List<SqlParameter>(); ilistStr.Add(new SqlParameter("@Param1", "aa")); ilistStr.Add(new SqlParame…

先定义一个List,然后再往List里面添加SqlParameter对象,然后将List转为SqlParameter数组即可 List<SqlParameter> ilistStr = new List<SqlParameter>(); ilistStr.Add(new SqlParameter("@Param1", "aa")); ilistStr.Add(new SqlParameter("@Param2", &quo…

List<SqlParameter> paras = new List<SqlParameter>(); paras.Add(new SqlParameter("@mi_id", mid)); if (state!="") { sql += " and mi_state=@state "; paras.Add(new SqlParameter("@state", state)); } if (categ…

1.在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击. 2. string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter SqlConnection conn = new SqlConnection(); conn.Conne…

思路: 导入: 1,初始化一个OpenFileDialog类 (OpenFileDialog fileDialog = new OpenFileDialog();) 2, 获取用户选择文件的后缀名(string extension = Path.GetExtension(fileDialog.FileName).ToLower();),并设置允许后缀文件名: 3,NPOI转datetable,遍历tatetable转成实体类列表并入库: 导出: 1, 创建提示用户保存类,SaveFileDial…

1.SQL注入:SQL注入攻击是web应用程序的一种安全漏洞,可以将不安全的数据提交给运用程序,使应用程序在服务器上执行不安全的sql命令.使用该攻击可以轻松的登录运用程序. 例如:该管理员账号密码为xiexun,该sql的正确语句应该为: select * from Users where userName='xiexun' 如果在没有做任何处理的情况下,在登录名文本框中输入(xuxian' delete users--),单击"登录"按钮之后,相当于传了两句sql语句,一句执行查询…

这是sqlHelper.cs类,类内里封装了方法 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Data; using System.Data.SqlClient; using System.Configuration; /// <summary> ///sqlHelper 的摘要说明 /// </summary> public cl…

因为通过SQL 语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操 作,针对SqlParameter的方式我们同样可以将其封装成一个可以复用的数据访问类,只是比SQL语句的方式多了一个SqlParameter的参 数. 般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串 中含有单引号,程序就会发生错误,并且他人可以轻易地通过…

一般情况下,我们定义的一个SqlParameter参数数组,如: SqlParameter[] parms =             {                new SqlParameter("@DateTime1", dtBegin),                new SqlParameter("@DateTime2", dtEnd)            }; 如果只给一个SqlCommand使用,这种情况的参数使用,不会出现异常,但如果该参数…