如何用Sqlparam防止sql注入

private void StoreAccountDetails( string userName, 
                                  string passwordHash, 
                                  string salt )
{
  // 请参见“如何在 ASP.NET 中使用 DPAPI(计算机存储)”,以了解 
  // 有关安全地存储连接字符串的信息。
  SqlConnection conn = new SqlConnection( "Server=(local);" +
                                          "Integrated Security=SSPI;" +
                                          "database=UserAccounts");  SqlCommand cmd = new SqlCommand("RegisterUser", conn );
  cmd.CommandType = CommandType.StoredProcedure;
  SqlParameter sqlParam = null;  sqlParam = cmd.Parameters.Add("@userName", SqlDbType.VarChar, 255);
  sqlParam.Value = userName;  sqlParam = cmd.Parameters.Add("@passwordHash ", SqlDbType.VarChar, 40);
  sqlParam.Value = passwordHash;  sqlParam = cmd.Parameters.Add("@salt", SqlDbType.VarChar, 10);
  sqlParam.Value = salt;  try
  {
    conn.Open();
    cmd.ExecuteNonQuery();
  }
  catch( Exception ex )
  {
    // 查看是否存在主键冲突(重复的帐户名)
    // 或为清楚起见而省略的其他数据库错误的代码
    引发一个新异常(“添加帐户时出现异常。”+ ex.Message);
  }
  finally
  {
    conn.Close();
  } 
}

解决方案 »

  1.   

    这是调用存储过程,如果是sql语句呢?
      

  2.   

    借花献佛,呵呵
    ----------------
    private   void   StoreAccountDetails(   string   userName,   
                                                                        string   passwordHash,   
                                                                        string   salt   ) 

        //   请参见“如何在   ASP.NET   中使用   DPAPI(计算机存储)”,以了解   
        //   有关安全地存储连接字符串的信息。 
        SqlConnection   conn   =   new   SqlConnection(   "Server=(local); "   + 
                                                                                        "Integrated   Security=SSPI; "   + 
                                                                                        "database=UserAccounts ");     SqlCommand   cmd   =   new   SqlCommand( "insert into table_name (username,userpass,salt) values(@userName ,@passwordHash , @salt  )",   conn   ); 
        cmd.CommandType   =   CommandType.StoredProcedure; 
        SqlParameter   sqlParam   =   null;     sqlParam   =   cmd.Parameters.Add( "@userName ",   SqlDbType.VarChar,   255); 
        sqlParam.Value   =   userName;     sqlParam   =   cmd.Parameters.Add( "@passwordHash   ",   SqlDbType.VarChar,   40); 
        sqlParam.Value   =   passwordHash;     sqlParam   =   cmd.Parameters.Add( "@salt ",   SqlDbType.VarChar,   10); 
        sqlParam.Value   =   salt;     try 
        { 
            conn.Open(); 
            cmd.ExecuteNonQuery(); 
        } 
        catch(   Exception   ex   ) 
        { 
            //   查看是否存在主键冲突(重复的帐户名) 
            //   或为清楚起见而省略的其他数据库错误的代码 
            引发一个新异常(“添加帐户时出现异常。”+   ex.Message); 
        } 
        finally 
        { 
            conn.Close(); 
        }