用linq操作数据库,能用SqlParameter传参的形式么(为了防注入)
如下面的应该怎样用SqlParameter写DataorderDataContext db = new DataorderDataContext();
var ret = from p in db.user where p.name == TextBox1.Text && p.pwd == TextBox2.Text select p;
if (ret.Count() >= 1)
{
Response.Redirect("index.aspx");
}
如下面的应该怎样用SqlParameter写DataorderDataContext db = new DataorderDataContext();
var ret = from p in db.user where p.name == TextBox1.Text && p.pwd == TextBox2.Text select p;
if (ret.Count() >= 1)
{
Response.Redirect("index.aspx");
}
所以你就不需要操这个心了
你会发现,所有的变量,在"翻译"成SQL语句时,LINQ都自动使用了参数: @p0 @p1 @p2....所以SQL注入对于LINQ来说,已经不用担心了