C#基础学习20(防止SQL注入攻击)

最新推荐文章于 2023-09-05 12:44:54 发布
最新推荐文章于 2023-09-05 12:44:54 发布
阅读量684 收藏 3
点赞数
分类专栏: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Depths_p/article/details/92779039
版权

登录演示:

代码:

//点击登录按钮
private void btnLog_Click(object sender, EventArgs e)
{
    object m_obj;
    //获取输入的用户名密码
    string userName = txtName.Text.Trim();
    string userPsw = txtPsw.Text.Trim();
    //查询数据库
    string connStr = "server=localhost;user id=root;password=123;database=pqxit;charset=utf8;port=3306";
    using (MySqlConnection conn=new MySqlConnection(connStr))
    {
        string sql = string.Format("select count(*) from user where user_name='{0}' and user_psw='{1}'",userName,userPsw);
        using (MySqlCommand mcmd=new MySqlCommand(sql,conn))
        {
            conn.Open();
            m_obj = mcmd.ExecuteScalar();//获取第一行第一列
        }
    }
    if (Convert.ToInt32(m_obj)>0)
    {
        MessageBox.Show("登录成功");
    }
    else
    {
        MessageBox.Show("登录失败");
    }
}

效果:

 

这样看上去好像是对的,但是,如果用户名输入个代码会怎么样呢?

 竟然不输入密码也登录成功了,我们看看是怎么回事把。

"select count(*) from user where user_name='admin'#' and user_psw=''"

不难发现,是因为sql语句中把用户名字段后面的注释了,肯定有问题呀(Mysql中#注释) 

看看怎么解决吧。

一、使用参数化命令

在sql语句中使用占位符命令,占位符表示需要动态替换的值,它们通过Command对象的Parameters集合来传送。如下

1.sql定义语句改为

string sql = "select count(*) from user where user_name=@userName and user_psw=@userPsw";

2.执行sql之前给填充参数,键要与sql语句中一致

mcmd.Parameters.Add(new MySqlParameter("@userName", userName));
mcmd.Parameters.Add(new MySqlParameter("@userPsw", userPsw));

 这样,就大功告成了

二、调用存储过程

1.首先在Mysql数据库中创建存储过程

CREATE PROCEDURE count_login(IN userName VARCHAR(20),IN userPsw VARCHAR(20),OUT countLog int)
BEGIN
SELECT COUNT(*)INTO countLog from user where user_name=userName and user_psw=userPsw;
END

2.代码中调用存储过程

//点击登录按钮
private void btnLog_Click(object sender, EventArgs e)
{
    string userName = txtName.Text.Trim();
    string userPsw = txtPsw.Text.Trim();
    //准备连接的字符串
    string connStr = "server=localhost;user id=root;password=123;database=pqxit;charset=utf8;port=3306";
    MySqlConnection conn = new MySqlConnection(connStr);//创建连接
    MySqlCommand mcmd = new MySqlCommand("count_login", conn);//count_login为存储过程名
    //调用存储过程必须要指定Command.CommandType
    mcmd.CommandType = CommandType.StoredProcedure;//StoredProcedure声明这是存储过程名
    //向存储过程传递参数
    //需要精确指定数据类型和参数大小   以便数据库内正确匹配
    mcmd.Parameters.Add(new MySqlParameter("@userName",MySqlDbType.VarChar,20));
    mcmd.Parameters["@userName"].Value = userName;
    mcmd.Parameters.Add(new MySqlParameter("@userPsw", MySqlDbType.VarChar, 20));
    mcmd.Parameters["@userPsw"].Value = userPsw;
    //输出参数也要使用相同方式添加,但必须指定他的Direction为Output
    mcmd.Parameters.Add(new MySqlParameter("@countLog", MySqlDbType.VarChar, 20));
    mcmd.Parameters["@countLog"].Direction = ParameterDirection.Output;
    using (conn)
    {
        conn.Open();
        mcmd.ExecuteNonQuery();//执行存储过程
        //获取存储过程返回的值
        int count = Convert.ToInt32(mcmd.Parameters["@countLog"].Value);
        if (count > 0)
        {
            MessageBox.Show("登录成功");
        }
        else
        {
            MessageBox.Show("登录失败");
        }
    }
}

这样就可以了,效果是一样的

_非著名程序猿
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C#参数化(防止SQL注入)
ICE FROG的博客
11-18 5499
/* * C#防止SQL注入攻击 * Author:ICE FROG * TIME:2016/4/20 *//* * SQL注入攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块漏洞上添加了一个类来处理这个问题: * SqlParameter - using
c#操作mysql数据库
weixin_30922589的博客
03-31 837
1、下载mysql.Data.dll,在解决方案->引用中引入,并在文件头部引入 using MySql.Data.MySqlClient; 2、创建MySqlConnection对象(链接库) string connstr = "data source=localhost;database=cs_test;user id=root;password=123456;pool...
C#sql注入的帮助类
zhang123csdn的博客
12-09 1760
C#sql注入的帮助类
C#防止注入攻击的方法
linshichen的专栏
07-14 1865
public bool Exists(int ID) { StringBuilder strSql=new StringBuilder(); strSql.Append("select count(1) from T_AfterSaleCustomer"); strSql.Append(" where ID=@ID "); SqlParameter[] parameters = { n
C#SQL注入代码的三种方法
09-04
C#中,防止SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
c#.net全站防止SQL注入类的代码
10-27
以下是一个使用C# .NET编写的防止SQL注入的类,名为`SqlChecker`。 `SqlChecker`类主要包含以下几个部分: 1. **构造函数**:类提供了三个构造函数,它们接收HttpRequest和HttpResponse对象,用于处理HTTP请求和...
防止SQL注入攻击
08-11
在提供的"防止SQL注入攻击.exe"和"SQLInner"这两个文件中,可能包含了一个示例程序或工具,用于演示如何防止SQL注入。运行或研究这些文件可以加深对御机制的理解。不过,从安全角度出发,不应随意运行未知来源的...
SQLInner.zip 防止 SQL 注入攻击
06-30
SQL 注入攻击是指利用软件设计上的漏洞,在目标服务器上运行 SQL 命令以进行其他方式的攻击,动态生成 SQL 命令时没有对用户输入的数据进行验证,本实例为了使程序更加安全,使用 C#实现防止 SQL 注入攻击功能。...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6443
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
c#防止sql注入,使用参数化,而不是字符串连接
图纸的博客
08-22 1287
SqlConnection conn = new SqlConnection("连接数据库的字符串"); SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn); SqlParameter parm1 = new SqlParameter("@...
[C#]C#连接MySQL方法
云丶峰的博客
12-15 458
1.需要添加引用:MySql.Data.dll,可以网上搜索下载; 2.SqlHelper写法: 此处connStr写死了,实际上应该写在配置文件中,再读取;写法如下: public static readonly string connStr = "Server=192.168.0.1;Port=2222;Database=TEST;Uid=root;Pwd=123"; public static int ExecuteNonQuery(string sql, params MySqlParam
c#客户端防止SQL注入
CD_gd的博客
10-09 3224
在我们做编程的时候,尤其是在和数据库有关的软件,我们一定注意到数据库的安全问题。我们一定要注意到数据库的安全问题。一定要防止SQL注入的问题SQL注入是什么? SQL注入,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是一个很危险
C#.NET防止SQL注入攻击
zhangj1012003_2007的专栏
08-03 1545
1防止sql注入攻击(可用于UI层控制)#region 防止sql注入攻击(可用于UI层控制)  2  3/**////   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// t
C#连接MySql数据库
一枝韩独秀的博客
06-13 4306
1、配置文件在网上下载MySql.Data.dll文件并放到项目目录下并添加引用,完成配置。2、MySqlHelper类using MySql.Data.MySqlClient;using System;using System.Collections.Generic;using System.Data;using System.Linq;using System.Text;using Syste...
string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险
通用权限管理系统
08-21 2903
        private void StringFormat()<br />        {<br />            string userName = "jiri'gala";<br />            string password = "123456";<br />            string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword=
C#SQL注入代码的实现方法
weixin_30718391的博客
01-18 649
  对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:...
防止SQL注入的四种方案
最新发布
dehuisun的专栏
09-05 9381
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
c# winform 拼接sql 防止sql注入
05-23
C# WinForm 中拼接 SQL 语句时,为了防止 SQL 注入攻击,可以采用参数化查询的方式。具体步骤如下: 1. 定义 SQL 语句,使用参数占位符来代替实际的参数值,例如: ``` string sql = "SELECT * FROM users ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值