關於Sql註入，經典的註入語句是‘ or 1=1-- 以下說說如何最大限度的避免註入問題。

一.SQL參數用法1

1.思維導圖

2.示例代碼

1 SqlParameter sqlParameter = new SqlParameter();             //聲明並實例化SQL參數；
 

2 sqlParameter.ParameterName = "@No";                         //設置SQL參數的名稱；
3 sqlParameter.Value = this.txb_UserNo.Text.Trim();           //設置SQL參數的長度；
4 sqlParameter.SqlDbType = SqlDbType.Char;                    //設置SQL參數對應的SQL Server數據類型；
5 sqlParameter.Size = 10;                                     //設置SQL參數的長度；
 

6 sqlCommand.Parameters.Add(sqlParameter);     

顯然，Add方法在添加多個SqlParameter時不方便

二.SQL參數用法2

1.示例代碼

1 sqlCommand.Parameters.AddWithValue("@Password", this.txb_Password.Text.Trim());       //直接調用方法AddWithValue向SQL命令的參數集合添加參數的名稱、值；
2 sqlCommand.Parameters["@Password"].SqlDbType = SqlDbType.VarChar;                     //
 
通過參數名稱訪問SQL參數，並將密碼參數的類型設為變長字符串；
3        //SQL參數能自動識別類型；若參數值為字符串，則類型自動設為NVARCHAR，且可在執行時自動轉換；但對於相同密碼，VARCHAR/NVARCHAR類型所獲得的散列值不同，故需手動將SQL參數類型統一設為VARCHAR;

ADO.NET之註入式攻擊