ASP.net(c#) 在ACCESS数据库中利用参数使用存储过程例子(防SQL注入)

最新推荐文章于 2024-04-18 09:21:02 发布
最新推荐文章于 2024-04-18 09:21:02 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: asp.net 文章标签: 数据库 sql access asp.net 存储 c#

我们要实现的在文本框中输入帐号,密码,按确定后,从Access数据库中检索是否帐号和密码正确,若正确,则弹出"登陆成功",错误则弹出"登陆失败".而这我们要用参数使用存储过程实现.

首先我们要建一张表,打开access数据库,在查询下的SQL视图输入:

create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)

这样我们就建好了一张名为admin_table的表.

再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录

insert into admin_table(acc_name,acc_password)
values('admin','admin888')

注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!

接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:

在default.aspx.cs中用我们以前的做法,代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }    }

    protected void Button1_Click(object sender, EventArgs e)
    {

            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand(cmdText, conn);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

在我们输入正确的admin和admin888后弹出:

然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是

admin' or '1=1

其结果是:

为什么会这样呢?理由很简单.其实根据

string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";

那么你输入的

admin' or '1=1

等同于:

string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";

明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.

修改后的代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
            //定义连接字符串
            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
            OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraName.Value = this.tbxName.Text;
            cmd.Parameters.Add(paraName);
            OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraPassWord.Value = this.tbxPassWord.Text;
            cmd.Parameters.Add(paraPassWord);            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

 下面这部分代码最关键:

OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);

需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.

这次我们再次输入下面:

结果:

 

总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.

zky0901
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Access 使用存储过程”(一)
.问号鱼@CSDN.NET
09-23 687
我们已经熟悉在 ASP 通过调用 SQL Server 存储过程来执行数据库操作,不过大家是否知道,在桌面级数据库 Access ,我们也能够创建并使用存储过程”?Access + ASP 是开发轻量级 Web 应用程序的绝佳组合:简单,快速,兼容性好,但是性能通常不高。并且,用 ADODB.Connection 和 Recordset 对象来执行 SQL 语句的方式,也有一些不方便,因为带
asp.net 数据库备份还原(sqlserver+access)
01-02
时间:2007-1-1 * 当使用SQL Server时,请引用 COM组件的,SQLDMO.dll组件 * 当使用Access,请浏览添加引用以下两个dll * 引用C:\Program Files\Common Files\System\ado\msadox.dll,该DLL包含ADOX命名空间 * 引用C:...
ASP.NET C# 连接 access sqlserver 数据库
12-14
ASP.NETC#连接数据库主要是连接SQL Server和Access数据库,这两者区别不大。很多开发者第一次配置费了不少劲,微软的产品会遇到问题,能遇到的问题都遇到了,今后数据库基本都能连接。   连接Access   首先看一个例子代码片断:   程序代码: using System.Data; using System.Data.OleDb; string strConnection="Provider=Microsoft.Jet.OleDb.4.0;"; strConnection+=@"DataSource=C:BegASPNETNorthwind.mdb"
mysql存储过程带参实例_MySQL参数存储过程例子
weixin_39716703的博客
02-01 184
存储过程P_GET_CLASS_NAME是根据输入的班级号判断班级名称存储过程P_INSERT_STUDENT是接收输入的学生信息,最终将信息插入学生表。DROP PROCEDURE IF EXISTS `P_GET_CLASS_NAME`;CREATE PROCEDURE P_GET_CLASS_NAME(IN ID int,OUT NAME VARCHAR(50))BEGINIF(ID = 1...
数据库三级考试 真题存储过程汇总(含答案)
qq_51175813的博客
04-30 1183
数据三级考试真题汇总之存储过程
在ADO.NET使用参数SQL语句的大同小异
似水流年
05-20 2385
在ADO.NET经常需要跟各种数据库打交道,在不实用存储过程的情况下,使用参数SQL语句一定程度上可以SQL注入,同时对一些较难赋值的字段(如在SQL ServerImage字段,在OracleClob字段等)使用参数SQL语句很容易就能赋值,所以本人经常在ADO.NET使用参数SQL语句,近几年来陆续跟SQL Server/Oracle/ MySQL/Access打交道,积累了
C#连接acces数据库sql语句正确写法
qq_34309663的博客
09-13 909
C#窗体程序连接access数据库编写小型个人电脑程序时,需要编写相应的sql语句进行增删改查操作,因为access数据库sql语句写法在某些方面和mysql存在较大的区别,本次着重对访问access数据库sql语句进行讨论,并且实际已经运行通过。具体操作样式如下:      1.连接ACCESS2000数据库的语句       public static string  strcon =
不同数据库C#使用参数SQL语句的大同小异
aa232610的专栏
04-23 1166
C#经常需要跟各种数据库打交道,在不实用存储过程的情况下,使用参数SQL语句一定程度上可以SQL注入,同时对一些较难赋值的字段(如在SQL ServerImage字段,在OracleClob字段等)使用参数SQL语句很容易就能赋值,所以本人经常在ADO.NET使用参数SQL语句,近几年来陆续跟SQL Server/Oracle/ MySQL/Access打交道,积累了一些心得,
C# 参数SQL
Hoxily的窝窝
03-13 2292
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预SQL注入攻击 (SQL Injection) 的攻击手法的御方式。 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,
AspxBBS1.0.rar_ajax_asp c# sql_asp.net_asp.net C#_mssql
09-19
AspxBBS采用当前的热门技术ASP.Net开发,C#语言编写,一流的高速缓存利用技术。论坛风格参照了、CSDN论坛、LB论坛、动网论坛的风格,整个论坛的数据库结构设计一流,所以论坛运行速度一流,功能一流,整个论坛包括HTML码...
C# Ado.net实现读取SQLServer数据库存储过程列表及参数信息示例
08-26
主要介绍了C# Ado.net实现读取SQLServer数据库存储过程列表及参数信息,结合实例形式总结分析了C#针对SQLServer数据库存储过程参数信息的各种常见操作技巧,需要的朋友可以参考下
asp.net和asp下ACCESS参数化查询
12-02
(SQL储存过程查询也是用这个方法建立的) ASP.NET C#语法 OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value); (实际上它有七重载大家具体大家可以在VS.net里面就可以看到) ...
就业预测系统 框架 vs2019 + asp.net webform + echart 数据库 sql server
07-14
注意sql server类和access数据库可以使用vs自带的数据库启动,不需要安装庞大的sql安装包。 就业预测系统(主要连接处理学生成绩管理系统的数据的数据用户数据统计展示) 模块介绍 数据管模块,数据显示模块,数据...
C#执行ACCESS存储过程
luwq168的专栏
09-05 1134
ACCESS存储过程实际上就是Update、Insert
C#Access数据库用储存过程查询
qq_31178679的博客
07-15 411
Access数据库创建查询过程 关掉这个对话框,右键弹出菜单选择SQL视图 在这里用SQl语句编辑查询 完了关闭界面弹出保存查询 在C#就可能像SQL数据库一样用储存过程来操作了. 自己封装的函数一个不带参数列表的,一个带参数列表 /// <summary> /// 用储存过程查询 /// </summary> /// <param name="cuCunGocen"></pa.
ACCESS里面创建带参数存储过程
5653325的专栏
01-06 1935
需要注意的是page_load里面的创建存储过程只能执行一次,如果第二次还要创建同名的话会提示错误信息“存储过程已经存在。”,其实加个判断就行了。懒得加了,只是用来试验一下。 调试环境 ASP.NET 2.0(编译工具VS2008),代码C#access版本2003 protected void Page_Load(object sender, EventArgs e) { OleDbCon...
[导入]Access使用存储过程及用户自己定义的控件里使用参数
weixin_33698043的博客
10-13 88
1、Access使用存储过程。   这可能是一个很有意思的内容,我所以这样做,是因为明确的知道自己做的项目会以SQLServer上实现,而在测试及开发的时候,还只能用Access,这或许是一个矛盾,但我还是把数据层与逻辑尽可能的分开了,也实现了数据可以快速转化的一些方法。但我还是想用SQLserver的存储过程,于是在Access里做了这样的方法来代替。 先在Access的查询里建立一个查询...
表和索引分片
最新发布
Sinoregal的博客
04-18 682
是将一个表的数据分布到不同的dbspace。SinoDB数据库支持智能化横向的表和索引分区,并将其称之为表和索引分片。分片允许您创建一个表,该表在SQL语句被视为单个表,但由多个tbspaces组成。正常的分片要求每个 dbspace 有一个片段。这有效地将较大的表划分为若干较小的 tablespaces,因为一个 tablespace 不能跨 dbspace。新增保留关键字分区。则允许来自一个分片表的多个片段共存于同一个 dbspace。
asp.netaccess数据库 insert into语句的用法
05-24
ASP.NET 使用 Access 数据库进行数据插入操作,可以使用 INSERT INTO 语句。以下是 INSERT INTO 语句的基本语法: ``` INSERT INTO table_name (column1, column2, column3,...) VALUES (value1, value2, value3,...); ``` 其,table_name 是要插入数据的表名;column1, column2, column3,... 是要插入的列名;value1, value2, value3,... 是要插入的值。 例如,如果要向名为 student_info 的表插入学生的姓名、年龄和性别,可以使用以下代码: ``` string connStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=|DataDirectory|Database.mdb"; string insertStr = "INSERT INTO student_info (name, age, gender) VALUES (@name, @age, @gender)"; using (OleDbConnection conn = new OleDbConnection(connStr)) { using (OleDbCommand cmd = new OleDbCommand(insertStr, conn)) { conn.Open(); cmd.Parameters.AddWithValue("@name", "张三"); cmd.Parameters.AddWithValue("@age", 18); cmd.Parameters.AddWithValue("@gender", "男"); cmd.ExecuteNonQuery(); } } ``` 在上面的代码,我们首先定义了一个连接字符串 connStr,指定了要连接的 Access 数据库文件的路径。然后,我们定义了一个 INSERT INTO 语句 insertStr,指定了要插入的表名 student_info 和列名 name、age 和 gender。接着,我们创建了一个 OleDbConnection 对象 conn,并传入连接字符串 connStr,然后创建了一个 OleDbCommand 对象 cmd,并传入 INSERT INTO 语句 insertStr 和 OleDbConnection 对象 conn。随后,我们打开了连接,并使用 cmd.Parameters.AddWithValue 方法为 INSERT INTO 语句参数 @name、@age 和 @gender 分别设置了值。最后,我们调用了 cmd.ExecuteNonQuery 方法来执行 INSERT INTO 语句,将数据插入到数据库。 需要注意的是,由于 INSERT INTO 语句参数值是通过参数化查询方式设置的,因此可以有效地避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值