用户登陆首页的密码验证问题

sunfor 2012-01-05 12:59:39

做个网页的登陆首页,要输入用户名(username)及密码(password),
看到别人都用dataset方式验证:
DataSet ds = mcObj.ReturnAIDs(txtusername.Text.Trim(), txtpassword.Text.Trim(), "AInfo");
username = Convert.ToInt32(ds.Tables["AInfo"].Rows[0][0].ToString());

或linq方式验证:
DataClassesDataContext DC = new DataClassesDataContext();
var query = from a in DC.Tb_pass where ...;
GridView GV = new GridView();
GV.DataSource = query;
GV.DataBind();
username = Convert.ToString(GV.Rows[0].Cells[0].Text);

我想问下C#能不能直接用执行SELECT语句,把用户名放入变量username?
select username from Tb_Pass where User=Username.Text and Pass=Password.Text;
如果username不为空,即验证成功.
这语句如何写?

还想问下,这样做是否会引起SQL注入式的攻击?

...全文

148 8 打赏收藏转发到动态举报

写回复

用AI写文章

8 条回复

切换为时间正序

请发表友善的回复…

发表回复

烟波钓 2012-01-06

打赏
举报

[Quote=引用 5 楼 sunfor 的回复:]
引用 4 楼 zhangbin1988 的回复:
在你的SQL語句前面加個 @
例如
string sql = @"select * from table where ...";

C#如何执行这名SQL语句?
是用如下方式执行?或者还有其它方式?
SqlCommand cmd = new SqlCommand("select * from table where ...", Con……
[/Quote]
我去你跟进去那个方法不就知道了？
mcObj.ReturnAIDs(txtusername.Text.Trim(), txtpassword.Text.Trim(), "AInfo");
还有你说的那种应该是拼接字符串的方式了吧？
那种都是刚学ADO.net时用的东东，必然会有sql注入的危险
还是用参数查吧



string strSql="select username from Tb_Pass where User=@Usernameand Pass=@Password"

完后自己把参数传进去
貌似最好是用存储过程吧

sunfor 2012-01-06

打赏
举报

C#下执行SQL语句还有其它方式?
请教!

铜臂阿铁木 2012-01-05

打赏
举报

[Quote=引用 4 楼 zhangbin1988 的回复:]

在你的SQL語句前面加個 @
例如
string sql = @"select * from table where ...";
[/Quote]
我晕

sunfor 2012-01-05

打赏
举报

[Quote=引用 4 楼 zhangbin1988 的回复:]
在你的SQL語句前面加個 @
例如
string sql = @"select * from table where ...";
[/Quote]
C#如何执行这名SQL语句?
是用如下方式执行?或者还有其它方式?
SqlCommand cmd = new SqlCommand("select * from table where ...", Connection);
string user=Convert.ToString( cmd.ExecuteScalar()).Trim();