C#基础 参数化SQL查询及SQL防注入原因

最新推荐文章于 2023-03-26 10:37:13 发布
最新推荐文章于 2023-03-26 10:37:13 发布
阅读量783 收藏 4
点赞数
分类专栏: # C# 基行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ca_va/article/details/107973851
版权

参数化写法

1.不使用sql参数化

string sqlStr = "select * from [Users] where UserName='" + txtUserName.Text.Trim()                  
		+ "'and Password='" + txtUserPassword.Text.Trim() + "'";

在用户名、密码框中输入1‘ or ‘1’=1’后产生的SQL语句为:

select * from [Users] where UserName='1' or '1'='1' and Password='1' or '1'='1'

而‘1’=‘1’永远是正确的。这样,用户在不知道合法的用户名和密码的情况下,通过构造特殊的SQL语句,就顺利地进入了系统,导致我们的用户验证模块形同虚设!为了避免这种情况的发生,提高程序的安全性,需要使用参数化SQL语句。

2.使用SQL参数化

string sqlStr="select * from [Users] where UserName=@UserName and Password=@Password"

然后创建命令对象的代码时,修改为:

SqlCommand cmd = new SqlCommand(sqlStr,conn);
cmd.Parameters.AddWithValue("@UserName",txtUserName.Text.Trim());
cmd.Parameters.AddWithValue("@Password",txtUserPassword.Text.Trim());

现在,再次运行程序,在用户名和密码框中都输入‘1 or ’1‘=1’后,会提示“用户名或密码错误”,这样用户就没有办法非法登录系统

SQL防注入原因

1.原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,赋值函数setString(),会对传入的参数进行强制类型检查和安全检查,所以就避免了SQL注入的产生。

2.参数化为我们提供了消除这种误解的能力。在遇到参数时,不管输入任何值,都将整个值作为参数的值,而不是原始 SQL 文本的一部分。

简单来说,就是把上面的sql代码变成了类似于:

select * from [Users] where UserName="1' or '1'='1" and Password="1' or '1'='1"

相当于把每个接受的参数都当成了一个整体,会从数据库中找到完全等于它的数据。
PS:以上SQL实际上不是对的,只是拿来举例

引用知乎匿名网友:
以前 WOW 有一个梗,法师在生产了一个魔法泉水的时候,队员会有一个提示 “XXXX制造了魔法泉水”。有一个货起名叫 “处女一抬腿”…结果队友出现的提示内容就是 “处女一抬腿制造了魔法泉水” 是不是有一种很恶的感觉?这就是 SQL 注入的基本原理。那怎么解决呢?用变量啊,比如,提示信息改成 “ID:1233456 制造了魔法泉水”,不就好了,管你叫什么名字呢。你的参数化查询,其实就是创建了一个变量,并且单独为这个变量赋值。

引用文章:C# 使用参数化SQL语句(防SQL注入攻击)

Ca_va
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。   下面说下网站注入的几点要素。   一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。   二:如果用SQL语句,那就使用参数,添加Param   三:尽可能的使用存储过程,安全性能高而且处理速度也快   四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法   C#SQL注入方法一   在Web.config文件中
参数查询语句SQL注入
李公子的博客
09-15 2101
1.什么是SQL注入,为什么要SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
sql注入参数查询
m0_55306747的博客
11-26 4605
概念:在sql语句中需要输入值的地方以参数进行给值 特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入 现状:不过即使参数查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数查询 需要熟悉各数据库中的变量形式: 假设变量为a1
C#参数查询,避免SQL注入
11-03
一个可以避免SQL注入的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
C# 参数SQL
Hoxily的窝窝
03-13 2301
参数查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预SQL注入攻击 (SQL Injection) 的攻击手法的御方式。 在使用参数查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,
参数查询----SQL注入
做一枚优雅的IT女
08-15 1858
20:50 一、SQL注入的定义 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 二、SQL注入的原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数
参数查询sql注入漏洞
weixin_30385925的博客
03-19 326
参数查询sql注入漏洞攻击   这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。  首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,但是,这种方法存在一定的缺陷,在这里不做讨论...
mysql 参数_安全 -- mysql参数查询,止Mysql注入
weixin_39828847的博客
01-18 639
参数查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预SQL注入攻击(SQL Injection) 的攻击手法的御方式。有部份的开发人员可能会认为使用参数查询,会让程序更不好维护,或者在实现部份功能上会非常不...
C#SQL注入SqlParameter参数
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了...所以我们必须丢弃上面这种方式,使用SqlParameter进行参数,这样才能提升代码健壮性 SqlCommand cmd = new SqlCommand(); cmd.Comman
SqlServer:使用IN()子句C#进行参数查询
04-07
使用参数查询SQL中为IN()运算符发送参数的实用工具类
C#三层架构数据库连接类SQLHelper,包含标准SQL参数和存储过程
04-06
某个培训机构写的SQLHelper,现在分享出来,基于三层架构写的SQLHelper文件,包含标准SQL参数和存储过程
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
SQL参数SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
C#SQL参数传入空值报错解决方案
12-31
注意:SQL参数是不能接受C#的null值的,传入null就会报错。 下面我们看个例子: SqlCommand cmd=new SqlCommand(Insert into Student values(@StuName,@StuAge) ,conn); cmd.parameters.add(@StuName ,stuName); ...
使用参数查询SQL注入漏洞
李美静 廊坊师范学院信息技术提高班十三期
07-02 940
首先,什么是SQL注入呢?        所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,通过参数查询解决sql注入漏洞的实例。        以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时
C#参数SQL查询
weixin_30628801的博客
11-07 351
//写一个存储过程 ALTER PROCEDURE dbo.Infosearch ( @bmid smallint = null, @xm varchar(10)=null, @xb varchar(10)=null, @strage smallint=null, @endage smallint=null, ...
SQL参数查询--最有效可预SQL注入攻击的御方式
Galaxy_0的博客
01-13 656
SQL参数查询--最有效可预SQL注入攻击的御方式
C#sql语句参数sql注入
技术分享博客
02-23 938
C#sql语句参数sql注入 public override bool AddConditions(string FormId, string FormName, string Conditions, string UserId, out string errorMsg) { errorMsg = ""; DbHelper _helper = new DbHelper("CQYRSJLJ", CPAppContext.CurDbTyp
一文分析SQL参数查询为何能SQL注入
我的博客,不一样的自我表达
03-26 240
4、预处理 SQL 是如何SQL 注入的待执行的 SQL 被编译后存放在缓存池中,DB 执行 execute 的时候,并不会再去编译一次,而是找到 SQL 模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。– 预处理编译 SQL ,会占用资源set@a@a;– 使用 DEALLOCATE PREPARE 释放资源。
c#拼接SQLserver的sql sql注入
最新发布
05-23
C# 中拼接 SQL Server 的 SQL 语句时,为了SQL 注入攻击,应该使用参数查询参数查询是一种将查询参数SQL 查询语句分开的技术。这样可以避免 SQL 注入攻击,因为查询参数不会被解释为 SQL 代码。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值