ASP.NET参数化SQL语句(SQL SERVER)

最新推荐文章于 2022-03-31 08:34:22 发布
最新推荐文章于 2022-03-31 08:34:22 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: asp.net 文章标签: asp.net sql注入 参数化 sql server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SpiderManSun/article/details/65635480
版权

设计项目时,为了防止SQL注入,有很多种方法,一种是通过编写存储过程来防止SQL注入,使用这种方法可以提高性能,但是对于查询语句可能存在多种不同的SQL语句,这就要编写很多存储过程,还有一种方法是通过参数化,在这里只介绍一下SQL SERVER的。

先来介绍查询:

普通的查询语句(未将密码加密):

 

select top 1* from adminDB where username='admin' AND password ='admin'


采用参数化方式后的:

 

select top 1* from adminDB where username=@USERNAME AND password =@PASSWORD

具体实现:

 

Select:

 

//实例化Connection对象 我的数据库名是Management
SqlConnection connection = new SqlConnection("server=.;database=Management;uid=sa;pwd='sadasds'"); 
//实例化Command对象 
SqlCommand command = new SqlCommand("select top 1* from adminDB where username=@USERNAME AND password=@PASSWORD); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@USERNAME", username); Management
SqlConnection connection = new SqlConnection("server=.;database=Management;uid=sa;pwd='sadasds'"); 
//实例化Command对象 
SqlCommand command = new SqlCommand("select top 1* from adminDB where username=@USERNAME AND password=@PASSWORD); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@USERNAME", username); 
command.Parameters.AddWithValue("@PASSWORD",password);
//实例化DataAdapter 
SqlDataAdapter adapter = new SqlDataAdapter(command); 
DataTable data = new DataTable();


Select带like的:

string strSql = "select * from adminDB where username like '%'+ @username + '%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@username", username);

Select带IN:

 

string strSql = "select * from adminDB where username in ('+@username+')";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@add", "aa,bb,cc,dd,ee,admin,peter,sam");

 

 

 

 

 

 

 

 

 

 

 

 

SpiderManSun
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL参数(防止SQL注入)
05-29
ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
asp.net设置数据访问类(sql参数
WithHeartAndSoul的专栏
08-07 766
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data.SqlClient;using System.Data;namespace MyCommunityDAL{    public static class GetConnection    {        private static SqlConnection _connection;        ///
C# asp.netsql like in 参数
编程技术文档
01-27 7028
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
Ado.Net SQL语句参数SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5387
Ado.NetSQL语句参数 winform多条件迷糊查询的实现 SqlParameter实现方式
使用ADO.NET执行带参数Sql语句
Economic_shark的博客
09-04 8380
不带参数SQL语句重载通用Update方法 /// <summary> /// 执行增、删、改 (带参数SQL语句) /// </summary> /// <param name="sql"></param> /// <param name="parameter"></param> /// <returns></r
asp执行带参数sql语句实例
10-25
ASP(Active Server Pages)开发中,执行带...总之,通过参数SQL语句ASP开发者可以确保用户输入的数据不会直接拼接到SQL查询中,从而提高应用的安全性。这种方法不仅防范了SQL注入,还使得代码更易于维护和调试。
ASP.NETSQLServer的通用数据库访问类
10-22
3. `ExecuteDataTable(string sql, CommandType commandType, SqlParameter[] parameters)`:此版本增加了对参数的支持,允许传递一个`SqlParameter`数组,以便在执行查询时使用参数SQL,从而提高安全性并防止SQL...
ASP.NET防止SQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
asp.net+sql店内点餐系统
最新发布
06-16
3. **查询优**:使用SQL语句进行数据查询,通过索引优提升查询效率。 4. **事务处理**:保证订单处理的原子性、一致性、隔离性和持久性,确保交易的可靠性。 三、购物车功能实现 购物车功能是点餐系统的核心...
ASP.NET中操作SQL数据库(连接字符串的配置及获取)
10-27
ASP.NET中,与SQL Server数据库进行交互是常见的任务,这通常涉及到配置连接字符串和使用ADO.NET组件。...此外,应使用参数查询以防止SQL注入攻击,并确保事务处理和错误处理机制以提高数据完整性。
在ADO.NET中使用参数SQL语句的大同小异
老菜鸟
08-01 5023
在ADO.NET中使用参数SQL语句的大同小异 标签: sqlstringsql servernullmysqlaccess 2008-03-19 01:26 15067人阅读 评论(17) 收藏 举报  分类: C#基础(110)  asp.net(103)  版权声明:本文为博主原创文章,未经博主允许不得转载。 在ADO.NET
.Net ADO拼接带参数SQL语句
dfj66154的博客
02-24 246
首先是在DAL数据访问层中的代码://数据更新的方法public static int shuxing_update(s_passnature model) { string sql = "update s_passnature set pass_name=@pass_name,pass_content=@pass_content,pass_shuxing=@pass_sh...
ASP.net MySQL 简单的参数编辑操作
m0_56227168的博客
12-29 415
一.说明 这一篇简单的个人总结,方便自己的复制粘贴,软件是Visual Studio 2019,SQLyog 二.界面呈现部分 aspx前端界面部分代码: <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="WebForm4.aspx.cs" Inherits="MyTest03.WebForm4" %> <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/x
asp.net 数据库操作
点滴
05-01 1581
ASP.NET操作数据库通过对ADO.NET的基本讲解,以及讲解了一些数据源控件的基本用法后,本章将介绍一些ASP.NET操作数据库的高级用法,包括使用SQLHelper,以及数据源控件对数据的操作。本章是对前面的数据库知识的一种补充和提升。9.1  使用ADO.NET操作数据库上一章中介绍了ADO.NET的基本概念、ADO.NET的对象,以及如何使用ADO.NET。使用ADO.NET能够极大
c#SQL参数查询自动生成SqlParameter列表
天水宇的博客
05-27 7751
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数查询是经常用到的,它可以有效防止SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
SQL Server参数SQL语句中的like和in查询的语法(C#)
zdhlwt2008的博客
03-31 5694
sql语句进行 like和in 参数,按照正常的方式是无法实现的 //SqlParameter 会把where insert delete等字符原样的插入写入查询到sql语句中,而不会让这些关键字产生效果。。。。。。 我们一般的思维是: Like参数查询: string sqlstmt = "select * from users where user_name like '%@word%' or mobile like '%@word%'"; SqlParameter[] Parameters=.
AOP实践--ASP.NET MVC 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁
rise51的专栏
04-17 9201
在开发程序的过程中,稍微不注意就会隐含有sql注入的危险。今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁。不用每下地方对参数的值都进行检查,看是用户输入的内容是否有危险的sql。如果没个地方都要加有几个缺点: 1、工作量大 2、容易遗漏 3、不容易维护 下面我通过写一个过滤防止sql的特性类,对Action执行前对
asp.net连接sqlserver的方式
05-23
连接 SQL Server 数据库的方式有多种,其中一种常用的方式是使用 ASP.NET 中的 ADO.NET 技术。...以上是连接 SQL Server 数据库的基本步骤,当然还有其他更高级的操作,比如使用事务、参数查询等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值