.NET下IN关键字下多个并列参数的参数化

最新推荐文章于 2024-06-28 13:34:22 发布
最新推荐文章于 2024-06-28 13:34:22 发布
阅读量489 收藏
点赞数
分类专栏: .NET .NET Core 参数化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_wcy/article/details/125857439
版权

SQL注入 参数化查询 动态参数 安全性 数据查询
关键词由CSDN通过智能技术生成
.NET Core 同时被 3 个专栏收录
15 篇文章 0 订阅
订阅专栏
.NET
14 篇文章 0 订阅
订阅专栏
参数化
1 篇文章 0 订阅
订阅专栏

前言,参数化可以防止SQL注入,,

当修改这种参数化漏洞很多时候都会遇到类似这样一段SQL,如下:

---and A.PersonnelNo in (" + perNoStr + ")

perNoStr是一个字符串拼接来的,值可能是

//["1001","1002","1003","1004"]
string perNoStr = "";
foreach (var item in data)
{
    perNoStr = perNoStr + item.PersonnelNo + ',';
}
perNoStr = perNoStr.TrimEnd(',');

这种直接拼入到SQL语句的方式可以查出对应结果,但当改成参数化就会查不出数据,这里是由于一个参数不能把IN关键字里面的都给参数化了,而是要一一参数化。

解决方案,动态生成每一个参数:

List<SqlParameter> listParams = new List<SqlParameter>();
StringBuilder builder = new StringBuilder();

for (int i = 0; i < data.Count; i++)
{
    listParams.Add(new SqlParameter { ParameterName = "PersonnelNo" + i, Value = data[i].PersonnelNo });
    builder.Append($"@PersonnelNo{i},");
}
if (data.Count > 0)
{
    builder.Remove(builder.Length - 1, 1);
}

listParams.Add(new SqlParameter { ParameterName = "Period", Value = Period });

SQL那里直拼字符串,注意这里是直拼字符串而不是参数,所以不存在SQL Injection漏洞

A.PersonnelNo in (" + builder.ToString() + @")

参数builder长这样:

 随便打开一个参数化的参数看一下:

 

每一个参数都被参数化了,这样就成功把IN关键字拼接SQL参数的漏洞修复好了

仅供学习参考,如有侵权联系我删除

醉酒的李白、
关注
专栏目录
java第七讲:类中的关键字
weixin_43178406的博客
07-26 1万+
1. this和super 1.1 this 1.2 super 2. package和import 2.1 package 2.2 import 3. static和单例设计模式 4. final 5. abstract与模板方法设计模式 6. interface&implements与代理模式
传智播客 .NET面试宝典(2014版)
qq_34573534的博客
09-24 1376
.Net工程师面试笔试宝典 由于这套面试题涉及的范围很泛,很广,很杂,大家不可能一天两天就看完和学完这套面试宝典,即使你已经学过了有关的技术,那么至少也需要一个月的时间才能消化和掌握这套面试宝典,所以,大家应该早作准备,从拿到这套面试宝典之日起,就要坚持在每天闲暇之余学习其中几道题目,日积月累,等到出去面试时,一切都水到渠成,面试时就自然会游刃有余了。 回答问题的思路:先正面叙述一些基本...
SQL中in参数化的用法
05-06
SQL中in参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein
.net mysql参数化查询_MySQL参数化查询的IN 和 LIKE
weixin_34580074的博客
01-26 275
IN子句https://stackoverflow.com/questions/650455/c-sharp-parameterized-query-mysql-with-in-clauseNote: FIND_IN_SET is a mySQL specific function.select * from orderinfobyno where FIND_IN_SET(字段,'5,8')sel...
ADO.NET基础琐碎总结-----参数化查询
weixin_34306446的博客
04-02 141
       参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。       说起参数化查询当然最主要的就是如何构造所谓的参数:比如...
SQL SERVER IN参数化处理
weixin_33850890的博客
07-08 268
方法一、 CREATE TABLE [dbo].[Users] ( Id INTEGER IDENTITY(1, 1) PRIMARY KEY , Name NVARCHAR(50) NOT NULL ) ; GO //循环插值 DECLARE @Counter INTEGER SET @Counter ...
.net sql where in 参数化
weixin_30793643的博客
08-10 623
其实要执行的东西很简单就是一句.(ps,随手敲的,不排除手误) select * from tb where id in(1,2,3,4) 那么就成了语句的构造问题了 in ()里面是个集合,而楼主的写法是 id in ('1,2,4,3') 是in一个字串. 当然取不到了. string sql="select * from tb where id in(@ids)"; 相当于 string s...
.NET/C# ⾯试题汇总系列:ASP.NET常见面试题 003
最新发布
Code365
06-28 720
进程:进程是比线程大的程序运行单元,都是由操作系统所体会的系统运行单元,一个程序中至少要有一个进程,一个进程中,至少要有一个线程线程:线程的划分尺度要比进程要小,进程拥有独立的内存单元,线程是共享内存,从而极大的提高了程序的运行效率,同一个进程中的多个线程可以并发执行。事件基于委托,事件的本质是委托字段的包装器,对委托字段的访问起限制作用,RANK 函数的语法是:在分组内,按照特定的顺序排名,序号从 1 依次递增,排名函数以 tie 为单位,每个 tie 中的所有行的排名是相同的,排名可能是不连续的。
linux命令及 参数 详解
Shelly的博客
02-20 2844
1、新手必须掌握的linux 指令: 帮助命令: man –h(man --help) 1.常用系统工作命令: echo命令: echo (选项) (参数) 选项: -e 激活转义字符 使用-e选项时,若字符串中出现以下字符,则特别加以处理,而不会将它当成一般文字输出: \a 发出警告声; \b 删除前一个字符; \c 最后不加上换行符号; \f 换行但光标仍旧停留在原来的位置; \n 换行且...
数据库爱JS,JS爱着.NET
冯大宝的博客
04-27 437
知识大纲一、SQLServer数据库开发1、T-SQL编程1变量局部变量 局部变量是用户可自定义的变量,它的作用范围仅在程序内部。在程序中通常用来储存从表中查询到的数据,或当作程序执行过程中暂存变量使用。局部变量必须以“@”开头,而且必须先用DECLARE命令说明后才可使用。其说明形式如下:DECLARE @变量名变量类型 [@变量名变量类型…]例如:DECLARE @id char(10) —–...
.net mysql参数化查询,.NET 出现参数化查询 需要参数但未提供该参数的错误
weixin_30546683的博客
03-12 633
1、问题的来源在.NET或者C#中,我们一般执行sql语句的话,推荐使用参数化查询,这样可以避免sql注入的攻击,但是,我在使用参数化查询的时候出现了以下的错误,详细如下图:图一这是写sql语句参数化查询的代码图2 这是MSSQL执行的sql语句2、问题的原因出现这种错误的原因在于,在参数化查询的时候,有几个参数的值为null,这样的话,就出现了如图2所示的错误。为啥会这样了??虽然参数的值就是为...
.NET参数化查询数据库
09-04 865
一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()) {   con.ConnectionString ="************************";   con.Open();
ASP.NET使用参数化查询
PaSifaLL的博客
04-03 544
书写数据库语句 string str = ConfigurationManager.ConnectionStrings["Con"].ConnectionString; SqlConnection conn = new SqlConnection(str); 打开数据库连接 conn.Open(); 3.书写SQL语句 string sql = "inser...
sql语句 in参数化
chun521的专栏
04-25 2395
   /**   * 描述:findBySQL4IN   * @param sql 格式如:select id,name from table where id in (:keyName)  * @param paramsList  * @return  * @throws Exception  * @CreateOn 2017-4-1  上午10:11:34  * @author chun_...
Vue学习随笔+商城项目【下】
qq_47654010的博客
02-10 5289
更新日期:2021-2-10 晚 【新年快乐】 先看这里:Vue学习随便+商城项目【上】 目录(十二)组件化高级12.1 slot-插槽的基本使用12.2 slot-具名插槽的使用12.3 编译的作用域12.4 作用域插槽案例(十三)Vue实例的生命周期13.1 生命周期图13.2 再探究13.2.1 beforeCreate之前13.2.2 beforeCreate和created钩子函数间的生命周期13.2.3 created钩子函数和beforeMount间的生命周期13.2.3.1el选项对生.
Hive, Hue
thisisBenjamin
10-07 799
文章目录一、Hive 概述二、Hive 数据类型和文件格式2.1 数据类型2.1.1 基本数据类型2.1.2 数据类型隐式转化2.1.3 集合数据类型2.2 文本文件的数据编码2.2.1 默认存储格式的默认分隔符2.2.2 读时模式三、DDL3.1 数据库操作3.2 建表语句3.3 内部表 与 外部表3.4 分区表3.5 分桶表3.6 修改表 与 删除表四、数据操作4.1 数据导入4.2 数据导出五、DQL六、函数6.1 Hive 内置函数6.2 窗口函数6.3 自定义函数七、元数据管理与存储7.1 元数据
mysql中in的参数化,python mysql中in参数化的详细解析
weixin_42372837的博客
03-17 700
python mysql中in参数化的详细解析发布时间:2020-07-18 10:57:03来源:亿速云阅读:85作者:小猪这篇文章主要讲解了python mysql中in参数化的详细解析,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写还是看看第二种:使用.format()函数,很多时候我都是使用这...
在ADO.NET中用参数化查询缩短开发时间
sinodier的专栏
09-13 399
一段时间以来,存储过程一直是企业应用程序开发数据访问的首选方法。存储过程的安全性更高、封装能力更强,并能执行复杂的逻辑,且不会打乱应用程序代码。但是,它也存在一些缺点: • 开发者倾向于在存储过程中加入商业逻辑。 • 更改过程时必须改变开发环境。 • 查找过程所需的参数比较费时。 • 许多时候,存储过程提供的功能超出所需。   嵌入到应用程序代码中的内联SQL代码是数据访问的另
mysql in 参数化_SQL WHERE IN参数化编译写法简单示例
weixin_34061587的博客
02-01 420
前言最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。例子业务需求,需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录,SQL语句该怎么写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值