C#参数化查询数据库防注入

最新推荐文章于 2024-07-11 16:29:19 发布
最新推荐文章于 2024-07-11 16:29:19 发布
阅读量8.2k 收藏 3
点赞数
分类专栏: C# 文章标签: 数据库 c# string database insert sql
采用SqlClient方式连接数据库:         
【转】C 参数化SQL语句 - raku - raku raku! int Id = 1 ;
【转】C 参数化SQL语句 - raku - raku raku! string Name = " lui " ;
【转】C 参数化SQL语句 - raku - raku raku!
【转】C 参数化SQL语句 - raku - raku raku! // 语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.
   SqlCommand cmd = new SqlCommand("",connection1);
   cmd.CommandText = " insert into TUserLogin values(@Id,@Name) " ;
【转】C 参数化SQL语句 - raku - raku raku!cmd.Parameters.Clear();
   cmd.Parameters.Add("@Id",SqlDbType).Value =Id;
【转】C 参数化SQL语句 - raku - raku raku!cmd. Parameters.Add( " @Name " ,SqlDbType.VarChar ).Value = Name;
    cmd.ExecuteNonQuery();
 
 

参数化的意义在于把对应的值从参数中提供,对于like语句,like后面的值则包括了单引号中的所有部分,包括百分号(%),因此在参数化like对应的值时,应该把百分号移到参数值中提供,像这样:
Cmd.Parameters["@KeyWord"].Value = "%" + StrKeyWord + "%";
可别奢想在sql语句中像这样的样子:
Select * From [TableName] Where [Column1] like '%@KeyWord%'
不会报错,不过你不可能查询到想要的结果。


 

 
namespace DemoConsoleApplication
{
    class Program
    {
        //数据库连接字符串、根据实际修改
        private const string ConnectionString = @"Data Source=|DataDirectory|\Database1.sdf";

        static void Main( string [] args)
        {
            //获取用户输入的内容
            Console . WriteLine( "请输入用户名");
            string Passport = Console . ReadLine();
            Console . WriteLine( "请输入密码");
            string Password = Console . ReadLine();

            using ( SqlConnection Conn = new SqlConnection( ConnectionString))
            {
                Conn . Open(); //打开数据库
                using ( SqlCommand Cmd = Conn . CreateCommand())
                {
                    Cmd . CommandText = "select * from TB_Users where passport=@UN and password=@PWD";
                    Cmd . Parameters . Add( new SqlParameter( "UN" , Passport));
                    Cmd . Parameters . Add( new SqlParameter( "PWD" , Password));

                    if ( 1 == Cmd . ExecuteNonQuery())
                        Console . WriteLine( "登陆成功!");
                    else
                        Console . WriteLine( "登陆失败!");
                }
            }

            Console . ReadKey(); //防止控制台程序一闪而过、而看不到输出结果
        }
    }
}
Mevin
关注
专栏目录
C#界面化查询数据库数据
04-25
同时,对于敏感操作,如修改或删除数据,应使用参数化查询SQL注入攻击。 总之,C#数据库的交互结合Windows Forms界面,为我们提供了一个强大的工具来实现用户交互式的数据库查询应用。通过学习和熟练掌握...
C#与MSSQL存储过程/参数化查询
book_dw5189的博客
06-15 2258
C#与MSSQL存储过程/参数化查询
[C#] 数据库 参数化 查询
ShanHaiyang
04-11 7829
为了数据库注入漏洞, 我们在对数据库进行查询的时候, 要使用参数化查询   using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; namespace 参数化查询 { class Program {
C# SqlSugar 如何使用Sql语句进行查询,并带参数进行查询注入
爱分享的小猿
07-11 1272
C# SqlSugar 如何使用Sql语句进行查询,并带参数进行查询注入
ASP.NET中参数化查询
whaxrl的专栏
04-10 1917
一、参数化查询原理 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入
[原创]C# 参数化查询 Oracle数据库示例代码
赵庆明老师
07-06 1376
下面是一个简单的基于C#的Oracle参数化查询示例
带参数的C#数据库查询程序
03-16
3. **参数化查询**:参数化查询可以SQL注入攻击,提高代码的安全性。在C#中,我们通过设置参数的Value属性来赋值,确保输入的数据被正确地转义和处理。 4. **执行查询**:调用SqlCommand的`ExecuteReader()`或`...
C#参数化查询,避免SQL注入
11-03
为了解决这个问题,C#提供了一种有效的方法——参数化查询,这是一种安全且高效的方式来执行数据库操作,能有效地SQL注入攻击。 参数化查询的核心思想是将SQL语句和实际的值分离,通过占位符(如`?`或`@param`...
C#SQL注入代码的三种方法
09-04
- **使用ORM框架**:如Entity Framework等ORM框架会自动处理参数化查询,降低了SQL注入的风险。 - **限制数据库权限**:为应用程序的数据库用户分配最小权限,只允许执行必要的操作,禁止执行如`DROP TABLE`等危险...
JS和C#分别注入代码
10-30
总之,无论是使用JS还是C#SQL注入的核心都在于对用户输入进行严格的验证和清理,避免直接将用户输入拼接到SQL查询中,并使用参数化查询等安全方法来构建安全的数据库交互。这些都是保障Web应用安全的重要措施...
C#MySQL 参数化查询SQL注入
一只没有感情的AI机械猿
04-17 589
【代码】C#MySQL 参数化查询SQL注入
c# mysql参数化查询_C# MySQL 参数化查询方式
weixin_32200729的博客
01-19 1511
C# MySQL 参数化查询方式using System;using MySql.Data.MySqlClient;namespace MySqlDemo{class Program{static void Main(string[] args){string connectionString = "server=127.0.0.1;port=3306;database=test_db;chars...
C++Builder参数化查询
chinayu2007的专栏
07-09 459
SQL参数化查询,即在SQL查询字符串中使用变量,在C++Builder中方法如下: AnsiString strSql2 = "select * from LoginUser where StationID = :a\ and UserID= :b and UserPwd= :c "; m_pAdo->Active = false; m_pAdo->SQL->Clear(); m_pAdo->SQL-&gt.
c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7816
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
c#查询参数化例子
龙卷风(2007)
04-10 3119
--Web.Config 配置                       ---页面绑定代码:(查询参数化)String DBConnStr;   DataSet MyDataSet=new DataSet();   TextBox1.Text ="2";   System.Data.SqlClient.SqlDataAdapter DataAdapter=new System.D
.NET中参数化查询数据库
weixin_30325071的博客
07-17 237
  一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()){  con.ConnectionString ="************************";  con.Open();  SqlComm...
C#参数化查询数据库止被注入
beyondqd的专栏
12-07 2179
简单的登陆程序演示参数化查询方式、涉及数据库操作时切忌把用户输入的信息直接与SQL语句拼接、用户输入的信息永远是不安全的、 01 namespace DemoConsoleApplication 02 { 03     class Program 04     { 05         //数据库连接字符串、根据实际修改 06         private const
C#参数化模糊查询
小小的花园里面挖呀挖呀~
12-24 3367
private void button1_Click(object sender, EventArgs e) { SqlParameter pName = new SqlParameter("@name","%"+textBox1.Text+"%"); DataTable dt = Dbutil.GetData("select * f
C# 联表查询注入。代码
最新发布
09-26
联表查询(JOIN)在C#中主要用于数据库操作时,当需要从两个或多个数据表中检索相关的数据时。这通常是在使用ADO.NET(Active Directory Object Model for .NET)或Entity Framework等ORM(Object-Relational Mapping)框架时进行的。例如,如果你有两个表`Employees`和`Departments`,你可以用JOIN来获取每个员工所在的部门信息。 以下是一个简单的示例,假设我们有一个`DbConnection`连接到数据库: ```csharp using System.Data.SqlClient; using System.Data; // 假设Employee和Department实体已经定义好 public DataTable JoinTables() { string query = "SELECT E.*, D.DepartmentName FROM Employees E JOIN Departments D ON E.DepartmentId = D.DepartmentId"; using (var connection = new SqlConnection(connectionString)) { SqlCommand command = new SqlCommand(query, connection); SqlDataAdapter adapter = new SqlDataAdapter(command); DataTable result = new DataTable(); adapter.Fill(result); return result; } } ``` 在这个例子中,`command`对象包含了执行SQL查询的命令,然后`SqlDataAdapter`用于填充`DataTable`,以便我们可以轻松地处理结果。 关于SQL注入攻击,你应该始终确保从用户输入处获取的数据被正确转义或使用参数化查询参数化查询能避免直接拼接字符串中的用户输入,从而止恶意SQL插入。 这里是使用参数化查询的例子: ```csharp string userInput = ...; // 用户输入 string query = "SELECT * FROM Employees WHERE EmployeeId = @id"; SqlCommand command = new SqlCommand(query, connection); command.Parameters.AddWithValue("@id", userInput); // 使用参数而不是直接拼接字符串 // ... ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值