ADO.NET防止SQL注入漏洞攻击,两种参数查询

最新推荐文章于 2024-01-23 14:59:48 发布
最新推荐文章于 2024-01-23 14:59:48 发布
阅读量1.3k 收藏
点赞数
分类专栏: ADO.NET 文章标签: 漏洞 ado.net SqlParameter sql注入 Parameters
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fanbin168/article/details/10326895
版权

//sql 参数化查询<1>

            using (SqlConnectionconn =newSqlConnection("data source=Fan-VAIO;Initialcatalog=sales;integrated security=true"))

            {

                conn.Open();

                using(SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from t_user where name=@us andpassword=@pw";

 

                    cmd.Parameters.Add(newSqlParameter("@us","王二小"));

                    cmd.Parameters.Add(newSqlParameter("@pw", 123456));

                    //cmd.ExecuteReader();

                    SqlDataReaderdr = cmd.ExecuteReader();

                   

                    while(dr.Read())

                    {

                        Console.WriteLine(dr[1].ToString() + dr[3]);      //输出T_user的第一项,和第三项, 注意:dr的索引从0开始。

                    }

                  

                }

            }

            Console.ReadKey();

            

//sql 参数化查询<2>

            using(SqlConnection conn =newSqlConnection("data source=Fan-VAIO;initial catalog=sales;integrated security=true"))

            {

                conn.Open();

                using(SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from t_user where name=@nm andpassword=@pw";

                   cmd.Parameters.AddWithValue("@nm","罗蕊");

                   cmd.Parameters.AddWithValue("@pw",123456);

                    SqlDataReaderdr = cmd.ExecuteReader();

                    while(dr.Read())

                    {

                        Console.WriteLine(dr[1].ToString()+ dr[3]);

                    }

                }

                Console.ReadKey();

            }

 

 

 

 public bool Add(MoFeedBack m)
        {
            StringBuilder strSql = new StringBuilder();
            strSql.Append("insert into FeedBack(");
            strSql.Append("shopid,shopname,description,content,statuscfg,article_tag_id,picurl,date,moduleid,phone)");
            strSql.Append(" values (");
            strSql.Append("@shopid,@shopname,@description,@content,@statuscfg,@article_tag_id,@picurl,@date,@moduleid,@phone)");

            DbCommand cmd = database.GetSqlStringCommand(strSql.ToString());

            database.AddInParameter(cmd, "@shopid", DbType.Int32, m.shopid);
            database.AddInParameter(cmd, "@shopname", DbType.String, m.shopname);
            database.AddInParameter(cmd, "@statuscfg", DbType.Int32, m.statuscfg);
            database.AddInParameter(cmd, "@article_tag_id", DbType.Int32, m.article_tag_id);
            database.AddInParameter(cmd, "@picurl", DbType.String, m.picurl);
            database.AddInParameter(cmd, "@description", DbType.String, m.description);
            database.AddInParameter(cmd, "@content", DbType.String, m.content);
            database.AddInParameter(cmd, "@date", DbType.DateTime, m.date);
            database.AddInParameter(cmd, "@moduleid", DbType.Int32, m.moduleid);
            database.AddInParameter(cmd, "@phone", DbType.String, m.phone);

            return database.ExecuteNonQuery(cmd) > 0;
        }

无盐海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ASP.NET下SQL注入攻击防范与应用
01-05
根据用户操作的不同,SQL注入攻击可以分为两种类型:无意攻击和有意攻击。 - **无意攻击**:这种情况通常是由于用户无意间输入了一些特殊字符,这些字符构成了SQL命令的一部分,进而对数据库造成了破坏性的操作。...
数据库开发及ADO.NET(37)——SQL注入漏洞攻击查询参数、App.Config
qq_34573534的博客
09-02 208
一、SQL注入漏洞攻击 1、登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 2、构造恶意的Password:' or '1'='1 if (reader.Read()) { Console.WriteLine("登录成功"); } else { Console.Writ...
.Net 全局过滤,防止SQL注入
灵感源于学习的博客
01-17 1016
防止SQL 注入、漏洞修复
sqlserver:sql注入防范&参数sql
火焰
02-03 2305
环境: sqlserver2008及以上 .net core 3.1 sql注入本质: 接收用户输入的字符串并且将字符串拼接成sql语句执行。由于用户的故意的输入,打断了原来的sql结构。 --正常语句 select * from sysuser where username='admin' and pwd='123456' --被注入的语句(用户输入的用户名是【admin' --】,密码还是123456) select * from syssuer where username='admin' --'
C#中防治sql注入的帮助类
zhang123csdn的博客
12-09 1782
C#中防治sql注入的帮助类
C#.NET防止SQL注入攻击
wenle006的专栏
01-06 2844
防止sql注入攻击(可用于UI层控制) #region  防止sql注入攻击(可用于UI层控制)   2    3   /**/ ///    4  ///  判断字符串中是否有SQL攻击代码  5  ///    6  ///  传入用户提交数据  7  ///  true-安全;false-有注入攻击现有;   8  public   bool  ProcessSqlStr( str
ASP技术常遇问题解答-如何避免SQL语句中含有单引号而导致操作失败?.zip
03-23
在ASP.NET中,可以使用ADO.NET的`SqlCommand`对象和`SqlParameter`来创建参数查询。这样,你可以将值作为参数传递,而不是直接拼接在SQL语句中。例如: ```csharp SqlCommand cmd = new SqlCommand("INSERT INTO...
ASP.NET防XSS和注入的简单方法.pdf
05-19
在本文中,我们将探讨如何在ASP.NET中防止跨站脚本攻击(XSS)和注入攻击,这两种攻击是网络安全中的常见威胁。 首先,跨站脚本攻击(Cross-Site Scripting,简称XSS)是指攻击者通过在网页中注入恶意脚本,从而...
SQLServer注入程序Delphi无控件版..rar
05-04
SQL注入是一种常见的安全漏洞攻击者通过输入恶意的SQL语句来获取、修改、删除数据库中的敏感信息,甚至控制整个数据库服务器。在这个上下文中,"无控件版"可能意味着该程序没有依赖任何特定的图形用户界面(GUI)...
asp.net知识库
06-18
最详细的SQL注入相关的命令整理 Oracle Oracle中PL/SQL单行函数和组函数详解 mssql+oracle Oracle编程的编码规范及命名规则 Oracle数据库字典介绍 0RACLE的字段类型 事务 CMT DEMO(容器管理事务演示) 事务隔离性的...
.Net防sql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
学习代码 ASP.Net C# SQL注入 跨脚步漏洞 案例
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
SQL 注入漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-23 8180
SQL 注入漏洞原理以及修复方法
.net中防止SQl注入
代码的专栏
12-18 919
//防止SQL注入的方法         public bool SqlFilter(string source)         {             int srcLen, decLen = 0;             source = source.ToLower().Trim();             srcLen = source.Length;
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6481
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
.NET里面怎样防止SQL注入
harbour的专栏
07-24 1640
.NET防SQL注入方法 SQL语句 利用SqlCommand传参数的方法: string strSQL="SELECT * FROM [user] WHERE user_id=@id"; SqlCommand cmd = new SqlCommand(); cmd.CommandText = strSQL; cmd.Parameters.Add("@id",SqlDbType.V
.Net防sql注入的方法总结
weixin_30421809的博客
06-22 513
#防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过滤与检测; #着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: 1 public class SqlInjectHelper:System.Web.UI...
企业库是如何调用存储过程的
X_X_OO的博客
09-05 919
企业库  第一步、添加程序集引用 需要在项目中添加对下列程序集的引用 Microsoft.Practices.EnterpriseLibrary.Common.dll Microsoft.Practices.EnterpriseLibrary.Data.dll Microsoft.Practices.ObjectBuilder2.dll Microsoft.Practices.Unit
ADO.NET访问SQL Server:查询数据库教程
4. **参数查询**:为了防止SQL注入攻击,通常使用参数查询。在实验代码中,可以使用SqlParameter对象来设置查询中的参数,例如,添加两个参数对应学生姓名和课程名,然后在SQL命令中使用占位符(@StudentName和@...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值