C#参数化查询数据库防注入

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量8.2k 收藏 3
点赞数
分类专栏: C# 文章标签: 数据库 c# string database insert sql
采用SqlClient方式连接数据库:         
【转】C 参数化SQL语句 - raku - raku raku! int Id = 1 ;
【转】C 参数化SQL语句 - raku - raku raku! string Name = " lui " ;
【转】C 参数化SQL语句 - raku - raku raku!
【转】C 参数化SQL语句 - raku - raku raku! // 语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.
   SqlCommand cmd = new SqlCommand("",connection1);
   cmd.CommandText = " insert into TUserLogin values(@Id,@Name) " ;
【转】C 参数化SQL语句 - raku - raku raku!cmd.Parameters.Clear();
   cmd.Parameters.Add("@Id",SqlDbType).Value =Id;
【转】C 参数化SQL语句 - raku - raku raku!cmd. Parameters.Add( " @Name " ,SqlDbType.VarChar ).Value = Name;
    cmd.ExecuteNonQuery();
 
 

参数化的意义在于把对应的值从参数中提供,对于like语句,like后面的值则包括了单引号中的所有部分,包括百分号(%),因此在参数化like对应的值时,应该把百分号移到参数值中提供,像这样:
Cmd.Parameters["@KeyWord"].Value = "%" + StrKeyWord + "%";
可别奢想在sql语句中像这样的样子:
Select * From [TableName] Where [Column1] like '%@KeyWord%'
不会报错,不过你不可能查询到想要的结果。


 

 
namespace DemoConsoleApplication
{
    class Program
    {
        //数据库连接字符串、根据实际修改
        private const string ConnectionString = @"Data Source=|DataDirectory|\Database1.sdf";

        static void Main( string [] args)
        {
            //获取用户输入的内容
            Console . WriteLine( "请输入用户名");
            string Passport = Console . ReadLine();
            Console . WriteLine( "请输入密码");
            string Password = Console . ReadLine();

            using ( SqlConnection Conn = new SqlConnection( ConnectionString))
            {
                Conn . Open(); //打开数据库
                using ( SqlCommand Cmd = Conn . CreateCommand())
                {
                    Cmd . CommandText = "select * from TB_Users where passport=@UN and password=@PWD";
                    Cmd . Parameters . Add( new SqlParameter( "UN" , Passport));
                    Cmd . Parameters . Add( new SqlParameter( "PWD" , Password));

                    if ( 1 == Cmd . ExecuteNonQuery())
                        Console . WriteLine( "登陆成功!");
                    else
                        Console . WriteLine( "登陆失败!");
                }
            }

            Console . ReadKey(); //防止控制台程序一闪而过、而看不到输出结果
        }
    }
}
Mevin
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
.NET中参数化查询数据库
weixin_30325071的博客
07-17 224
  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()){  con.ConnectionString ="************************";  con.Open();  SqlComm...
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5333
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
.net mysql参数化查询_c# 针对不同数据库进行参数化查询
weixin_34245171的博客
01-26 217
使用参数化 DbCommand 的一个缺点是需要参数的代码将仅适用于支持相同语法的提供程序。OLEDB、SqlClient 和 Oracle 提供程序全部使用不同的语法。例如,用于命名和指定参数的 SQL 语法使用 @ 符号,OLEDB 参数语法需要使用问号 (?) 作为参数占位符,而 Oracle 提供程序使用冒号 (:)。string sqlstr = " select * from tabl...
SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
C#参数化查询,避免SQL注入
11-03
一个可以避免SQL注入的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
C# 数据库操作类 万能参数sql
08-18
能够自动封装参数化sql注入攻击! 而且使用方便! sql语句自动生成!安全 、 性能好! 灵活性强!
SQL注入攻击与
10-04
8.2.2 .NET(C#)中的参数化语句 272 8.2.3 PHP中的参数化语句 274 8.2.4 PL/SQL中的参数化语句 275 8.3 输入验证 275 8.3.1 白名单 276 8.3.2 黑名单 277 8.3.3 Java中的输入验证 278 8.3.4 .NET中的输入验证 279 ...
c#数据库,连接类库---DbHelp.cs[参照].pdf
10-11
C#数据库连接类库DbHelp.cs DbHelp.cs是一个C#数据库...DbHelp.cs类库是一个功能强大且灵活的C#数据库连接类库,提供了多种方法来执行数据库操作,支持多种数据库连接类型,并确保了线程安全和参数化SQL语句等功能。
c#新用户登录验证设计
05-27
特点: 1、参数化设计,SQL注入。 2、允许数据库用户密码为NULL。 3、C/S架构(B/S同样适用) VS2008+SQL SERVER 2008
SqlServer:使用IN()子句C#进行参数化查询
04-07
使用参数化查询SQL中为IN()运算符发送参数的实用工具类
网站SQL注入攻击的类封装
08-02
网站SQL注入攻击的类封装 SQL注入攻击为常见网站安全问题 因此在开发的时候就得做好范 此类为注入攻击的类封装,在开发过程中很好调用 可创建一个页基类,调用此类的方法注入,其他所有页面都继承页基类
SQL注入的5种方法
06-13
SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7737
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
sql注入解决办法
如风
11-09 1208
sql注入步骤: 1. 什么是SQL注入?我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!举个简单的查询例子,后台sql是拼接的:select * from test where name='+参数传递+';前台JSP页面要求输入name,那么黑客可以输入: ';DROP TABLESPACE  TEST INCLUDI
ASP.NET使用参数化查询
PaSifaLL的博客
04-03 484
书写数据库语句 string str = ConfigurationManager.ConnectionStrings["Con"].ConnectionString; SqlConnection conn = new SqlConnection(str); 打开数据库连接 conn.Open(); 3.书写SQL语句 string sql = "inser...
ado.net参数化查询
Finder_Way
10-25 1567
在 Web 应用程序的开发过程中,Web 安全是非常重要的,现存的很多网站也都存在一 些非常严重的安全漏洞,其中SQL 注入是非常常见的漏洞,如果将查询语句进行参数化查 询,可以减少SQL 注入漏洞的概率,参数化查询示例代码如下所示。 string strsql = "select * from mynews where id= @id" 上述代码使用了参数化查询,在存储过程中,参数化
c# sqlite 参数化
最新发布
08-24
C# 中使用 SQLite 数据库时,参数化查询是一种重要的技术,可以有效地SQL 注入攻击,并提高查询性能。下面是使用参数化查询的示例代码: ```csharp using System.Data.SQLite; // 创建连接对象 using (var...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值