怎样写防止Sql注入的Sql语句

最新推荐文章于 2024-03-17 12:15:00 发布
最新推荐文章于 2024-03-17 12:15:00 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: .Net技术 文章标签: c# sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuanwuziyou/article/details/42641751
版权
1.什么是SQL注入
    所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.

2.如何防止SQL注入
防止SQL注入的方法有两种:
    a.把所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程。
    b.使用参数化SQL查询语句。

3.为什么参数化SQL查询可以防止SQL注入
    在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。

4.如何写参数化的SQL查询语句(C#语句 SqlServer数据库)
在撰写 SQL 指令时,利用参数来代表需要填入的数值
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,如下:
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)

例子1:
普通的Sql语句:
  string idParam="001";
  string querySql = "select count from [test] where id='"+idParam+"'";
  SqlCommand com = new SqlCommand(querySql, conn);

参数化的Sql语句:
  string querySql = "select count from [test] where id=@id";
  SqlCommand com = new SqlCommand(querySql, conn);
  com.Parameters.AddWithValue("@id", idParam);

例子2:
普通的Sql语句:
  string updateSql= "insert into [test] (id,count,datetime) values ('" + idParam + "','" + countParam+ "','" +          System.DateTime.Now.ToString() + "')";
  SqlCommand com = new SqlCommand(updateSql, conn);

参数化的Sql语句:
 updateSql = "insert into [test] (id,count,datetime) values (@id,@count,@datetime)";
 updateComm = new SqlCommand(updateSql, conn);
 updateComm.Parameters.AddWithValue("@id", idParam );
 updateComm.Parameters.AddWithValue("@count", countParam);
 updateComm.Parameters.AddWithValue("@datetime", System.DateTime.Now.ToString());


xuanwuziyou
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。   下面说下网站注入的几点要素。   一:丢弃SQL语句直接拼接,虽然这个起来很快很方便。   二:如果用SQL语句,那就使用参数化,添加Param   三:尽可能的使用存储过程,安全性能高而且处理速度也快   四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法   C#SQL注入方法一   在Web.config文件中
模糊查询-防止sql注入
xiaoguaihu12的博客
09-06 1853
在mapper中 模糊查询,按名称查询时,直接在sql语句%x%,等于死在里面了,以后 每次查询都需要改动,那怎么办呢? 1.加入concat()关键字:concat('%',#{name},'%') 不常用,比较麻烦。动态参数 底层调用parperedStatement 可防止sql注入 2.'%' #{name} '%' 常用 中间有空格注意。动态参数 底层调用parpere...
【万字长文】SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
03-17 1542
之前一直有粉丝朋友,在挖漏洞过程中使用到SQL注入,希望大白给他讲解一些的SQL注入,今天大白也特地给粉丝朋友安排好了SQL注入攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。
sql防止sql注入_在SQL中使用注入
cumtb2009的博客
07-28 114
sql防止sql注入In the previous article, we have learned to retrieve (and update) database data, using AND/OR Operator in SQL. In this article, we are going to discuss what is injection, how we can use in...
防止SQL注入的四种方案
dehuisun的专栏
09-05 8439
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
C#.NET防止SQL注入式攻击
zhangj1012003_2007的专栏
08-03 1534
1防止sql注入式攻击(可用于UI层控制)#region 防止sql注入式攻击(可用于UI层控制)  2  3/**////   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// t
sql注入语句sql注入语句sql注入语句
01-04
sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句...
有效防止SQL注入的5种方法总结
09-09
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于防止SQL注入的5种方法,...
Python中防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python中防止sql注入的...
C#使用带like的sql语句sql注入的方法
09-04
主要介绍了C#使用带like的sql语句sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,防止sql注入,需要的朋友可以参考下
SQL注入语句,防止sql注入语句
04-26
SQL注入语句,防止sql注入语句,验证sql注入
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
C#SQL注入代码实现方法
小程序员 大梦想
01-14 7188
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。下面说下网站注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等
c#如何解决SQL注入的问题
Tang_AHMET的博客
03-22 2203
c#如何解决SQL注入的问题 1:这个问题大部分是防止用恶意输入,以及特殊字符,如果是不是正确的就会删除,c#在vs链接数据库上一篇博文已经讲过了, 如何连接数据库, 参考:https://blog.csdn.net/Tang_AHMET/article/details/105020004 2:在注入的时候替换成@,后面在进行添加值 干货!直接贴代码 using System; using Sys...
C#输入验证类,防止SQL注入
一只没有感情的AI机械猿
04-17 547
【代码】C#输入验证类,防止SQL注入
SQL注入以及防止SQL注入的方法
weixin_43206190的博客
02-27 4855
一、SQL注入简介 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 二、SQL注入攻击的思路 找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不同服务器和数据库的特点进行SQL注入攻击 三、SQL注入实例 一个要求输入用户名和密码的登陆界面 后台程序进行验证的SQL语句如下: select * from user_tab...
SQL 注入-盲注
Cwillchris的博客
06-04 290
超详细盲注原理讲解
如何防止SQL注入
m0_49521873的博客
05-23 2283
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
SQL注入以及解决方法
阳young的博客
01-26 7420
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
SQL语句如何防止注入
06-05
1. 使用参数化查询:参数化查询可以防止SQL注入攻击,它将用户提供的数据作为参数传递给数据库,而不是直接拼接到SQL语句中。 2. 对用户输入进行过滤:可以使用正则表达式或者其他过滤器来验证用户输入的数据是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值