select * from t_xm where xm='"+xm.Text+"'"; 改为select * from t_xm where xm=RTrim('"+xm.Text+"')";而且你的这种写法很容易被黑客跳过你的监测 如果黑客输入 ' OR 1=1 OR '1'=' 的话 你拼出的SQL语句就会变为 select * from t_xm where xm='' OR 1=1 OR '1'='' 所以最好用存储过程进行判断,用户名和密码作为参数传入,这样上面的输入就会引起错误。 如果我有说的不对,清高手指点一二 :)
改为select * from t_xm where xm=RTrim('"+xm.Text+"')";而且你的这种写法很容易被黑客跳过你的监测
如果黑客输入 ' OR 1=1 OR '1'=' 的话
你拼出的SQL语句就会变为
select * from t_xm where xm='' OR 1=1 OR '1'=''
所以最好用存储过程进行判断,用户名和密码作为参数传入,这样上面的输入就会引起错误。
如果我有说的不对,清高手指点一二 :)
再次谢谢sniper81的安全建议,我注册时用的是存储过程,这个姓名判断是附加的,注册信息表和姓名表都是不同的:)
http://www.ttd168.com/itbook/it.asp?id=48