ADO.NET防止SQL注入漏洞攻击,两种参数查询

最新推荐文章于 2024-01-17 10:03:04 发布
最新推荐文章于 2024-01-17 10:03:04 发布
阅读量1.3k 收藏
点赞数
分类专栏: ADO.NET 文章标签: 漏洞 ado.net SqlParameter sql注入 Parameters
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fanbin168/article/details/10326895
版权

//sql 参数化查询<1>

            using (SqlConnectionconn =newSqlConnection("data source=Fan-VAIO;Initialcatalog=sales;integrated security=true"))

            {

                conn.Open();

                using(SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from t_user where name=@us andpassword=@pw";

 

                    cmd.Parameters.Add(newSqlParameter("@us","王二小"));

                    cmd.Parameters.Add(newSqlParameter("@pw", 123456));

                    //cmd.ExecuteReader();

                    SqlDataReaderdr = cmd.ExecuteReader();

                   

                    while(dr.Read())

                    {

                        Console.WriteLine(dr[1].ToString() + dr[3]);      //输出T_user的第一项,和第三项, 注意:dr的索引从0开始。

                    }

                  

                }

            }

            Console.ReadKey();

            

//sql 参数化查询<2>

            using(SqlConnection conn =newSqlConnection("data source=Fan-VAIO;initial catalog=sales;integrated security=true"))

            {

                conn.Open();

                using(SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from t_user where name=@nm andpassword=@pw";

                   cmd.Parameters.AddWithValue("@nm","罗蕊");

                   cmd.Parameters.AddWithValue("@pw",123456);

                    SqlDataReaderdr = cmd.ExecuteReader();

                    while(dr.Read())

                    {

                        Console.WriteLine(dr[1].ToString()+ dr[3]);

                    }

                }

                Console.ReadKey();

            }

 

 

 

 public bool Add(MoFeedBack m)
        {
            StringBuilder strSql = new StringBuilder();
            strSql.Append("insert into FeedBack(");
            strSql.Append("shopid,shopname,description,content,statuscfg,article_tag_id,picurl,date,moduleid,phone)");
            strSql.Append(" values (");
            strSql.Append("@shopid,@shopname,@description,@content,@statuscfg,@article_tag_id,@picurl,@date,@moduleid,@phone)");

            DbCommand cmd = database.GetSqlStringCommand(strSql.ToString());

            database.AddInParameter(cmd, "@shopid", DbType.Int32, m.shopid);
            database.AddInParameter(cmd, "@shopname", DbType.String, m.shopname);
            database.AddInParameter(cmd, "@statuscfg", DbType.Int32, m.statuscfg);
            database.AddInParameter(cmd, "@article_tag_id", DbType.Int32, m.article_tag_id);
            database.AddInParameter(cmd, "@picurl", DbType.String, m.picurl);
            database.AddInParameter(cmd, "@description", DbType.String, m.description);
            database.AddInParameter(cmd, "@content", DbType.String, m.content);
            database.AddInParameter(cmd, "@date", DbType.DateTime, m.date);
            database.AddInParameter(cmd, "@moduleid", DbType.Int32, m.moduleid);
            database.AddInParameter(cmd, "@phone", DbType.String, m.phone);

            return database.ExecuteNonQuery(cmd) > 0;
        }

无盐海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库开发及ADO.NET(37)——SQL注入漏洞攻击查询参数、App.Config
qq_34573534的博客
09-02 208
一、SQL注入漏洞攻击 1、登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 2、构造恶意的Password:' or '1'='1 if (reader.Read()) { Console.WriteLine("登录成功"); } else { Console.Writ...
如何防止SQL注入
m0_49521873的博客
05-23 2328
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数查询:使用参数查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
.Net 全局过滤,防止SQL注入
最新发布
灵感源于学习的博客
01-17 1005
防止SQL 注入、漏洞修复
企业库是如何调用存储过程的
X_X_OO的博客
09-05 917
企业库  第一步、添加程序集引用 需要在项目中添加对下列程序集的引用 Microsoft.Practices.EnterpriseLibrary.Common.dll Microsoft.Practices.EnterpriseLibrary.Data.dll Microsoft.Practices.ObjectBuilder2.dll Microsoft.Practices.Unit
.NET防SQL注入方法
rickyll的专栏
01-21 500
SQL语句利用SqlCommand传参数的方法:string strSQL="SELECT * FROM [user] WHERE user_id=@id";SqlCommand cmd = new SqlCommand();cmd.CommandText = strSQL;cmd.Parameters.Add("@id",SqlDbType.VarChar,20).Value=Req
ASP技术常遇问题解答-如何避免SQL语句中含有单引号而导致操作失败?.zip
03-23
在ASP.NET中,可以使用ADO.NET的`SqlCommand`对象和`SqlParameter`来创建参数查询。这样,你可以将值作为参数传递,而不是直接拼接在SQL语句中。例如: ```csharp SqlCommand cmd = new SqlCommand("INSERT INTO...
ASP.NET防XSS和注入的简单方法.pdf
05-19
在本文中,我们将探讨如何在ASP.NET中防止跨站脚本攻击(XSS)和注入攻击,这两种攻击是网络安全中的常见威胁。 首先,跨站脚本攻击(Cross-Site Scripting,简称XSS)是指攻击者通过在网页中注入恶意脚本,从而...
SQLServer注入程序Delphi无控件版..rar
05-04
SQL注入是一种常见的安全漏洞攻击者通过输入恶意的SQL语句来获取、修改、删除数据库中的敏感信息,甚至控制整个数据库服务器。在这个上下文中,"无控件版"可能意味着该程序没有依赖任何特定的图形用户界面(GUI)...
asp.net知识库
06-18
最详细的SQL注入相关的命令整理 Oracle Oracle中PL/SQL单行函数和组函数详解 mssql+oracle Oracle编程的编码规范及命名规则 Oracle数据库字典介绍 0RACLE的字段类型 事务 CMT DEMO(容器管理事务演示) 事务隔离性的...
很起作用的asp防注入代码
05-11
参数查询防止SQL注入的一种重要方法,它将用户输入的数据作为参数传递,而不是直接拼接在SQL语句中。这样可以确保即使输入含有特殊字符,也不会被解释为SQL命令的一部分。 2. **预编译的存储过程**:在ASP中,...
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
学习代码 ASP.Net C# SQL注入 跨脚步漏洞 案例
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
关于SQL漏洞注入(Ado.Net)
weixin_34233618的博客
01-07 113
SQL漏洞注入是常见的一种攻击方式,我们可以通过一些简单的方式来预防。看一下我们经常写的代码: 1: /// &lt;summary&gt; 2: /// 不安全的登录代码 3: /// &lt;/summary&gt; 4: /// &lt;param name="sender"&gt;&lt;/param&gt...
同事都说有SQL注入风险,我非说没有
zyq025的专栏
03-15 7489
细节很重要~~~
asp.net request防sql注入_「Burpsuite练兵场」SQL注入之带外通信
weixin_39915081的博客
11-26 205
SQL注入带外通信OOB(Out-of-Band)带外通信注入也是一种挺常见的注入手法,与之前的带内通信相比(发送请求,返回结果都在同一条信道内),需要借助一个额外的服务器用于获取带外信道数据。具体操作即为通过注入SQL语句,构造请求到服务器中,以此将我们所需查询的数据带出来。那什么时候我们需要使用带外注入技术呢?当Web应用不产生任何错误响应,并且任何响应报文与SQL语句不存在逻辑关联,基于时间...
EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG
许未未的专栏
12-29 3142
项目场景: 项目场景:项目使用.net core EF做SQL查询,为了懒省事儿,使用EF自带防止SQL注入方法:FromSqlInterpolated 。 问题描述: 发现屏蔽了like %查询使得无法查询出数据! APP 中接收数据代码: @Override public void run() { string name='张三'; FormattableString fstr=$@"select * from staff where I
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 8084
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
ado.net防止sql注入
Hello World
12-15 2193
简介:当web平台真正上线之后,遇到的问题之一就是黑客攻击的问题,攻击的手段中常用的手段就是DDOS和sql注入,关于DDOS攻击,也就是分布式拒绝服务式攻击,就是黑客黑掉大量pc机之后,发下命令,全部被黑的机器同时去访问服务器,当超出服务器的负载时,服务器就是down掉,也就达到了一定的目的,这种攻击,在程序中用技术是解决不了的,最简单的办法就是拼money,加大带宽,服务器等等,其他的方法,就
C# ADO.NET操作SQL数据库详解
参数SQL语句可以防止SQL注入攻击,并简化数据类型的处理。在`SqlCommand`中添加`SqlParameter`,在执行时自动处理类型转换。 7. **事务处理**: 对于涉及多个操作的事务,可以使用`SqlTransaction`来确保数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值