防SQL注入的参数化查询

最新推荐文章于 2024-07-09 10:00:27 发布
最新推荐文章于 2024-07-09 10:00:27 发布
阅读量3.4k 收藏 1
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luckyzhoustar/article/details/39431321
版权

 

  在做机房收费系统的时候,曾经利用过传递参数的形式来将值传递给SQL语句或者存储过程,因为这样可以通过参数化的查询来帮助抵御“SQL 注入”式攻击,这种攻击者会将命令插入SQL语句,从而危机服务器的安全。


<span style="font-family:SimSun;font-size:18px;"><span style="font-family:SimSun;font-size:18px;">SqlParameter Param = new SqlParameter("@CourseID", 4);</span></span>


  这样可以从一定程度上来抵御SQL注入,但做的还不是很好,细心的话,你会发现SqlParameter这个类有7个构造函数,每个构造函数的参数都不同。既然要通过传参数给SQL语句赋值,那么为了做到匹配度最高,我们也可以把数据库存储的数据类型和大小也相应的匹配,这样做还可以提高查询执行性能,因为他们可帮助数据库服务器将传入命令与适当的缓存计划进行准确匹配。

  

<span style="font-family:SimSun;font-size:18px;"><span style="font-family:SimSun;font-size:18px;"> SqlParameter Params = new SqlParameter("@CourseID", SqlDbType.VarChar, 50, "CourseID");</span></span>


 注释:上述采用了SqlParameter构造函数的形式,第一个参数传递的是注入的参数,第二是是类型,第三个参数是大小,第四个参数是数据库中相对应的列的名称。


  改进


  使用ParameterDirection(指定查询内的有关 DataSet 的参数的类型。)枚举型类型来对上述进行改进。

  其中ParameterDirection有四个成员:Input(输入参数)、OutPut(输出参数)、InOutPut(输入输出参数)、ReturnValue(操作的返回值)


  传递参数过程

   

<span style="font-family:SimSun;font-size:18px;">SqlParameter[] Params = new SqlParameter[2];
            
            DataBase DB = new DataBase();
            string strsql = "DELETE From UserAnswermr WHERE UserID= @UserID and PaperID=@PaperID";
            Params[0] = DB.MakeInParam("@UserID", SqlDbType.VarChar, 50, userid);               //用户ID          
            Params[1] = DB.MakeInParam("@PaperID", SqlDbType.Int, 4, paperid);  </span>

  引入ParameterDirection

  

<span style="font-family:SimSun;font-size:18px;">  //公有方法,实例化一个用于调用存储过程的参数
        //输入:
        //      ParamName - 参数名称
        //      DbType		- 参数类型
        //      Size			- 参数大小
        //			Direction - 传递方向
        //			Value			- 值
        public SqlParameter MakeParam(string ParamName, SqlDbType DbType, Int32 Size, ParameterDirection Direction, object Value) 
        {
          SqlParameter Param;

          if(Size > 0)
              
              
            Param = new SqlParameter(ParamName, DbType, Size);
          else Param = new SqlParameter(ParamName, DbType);

          Param.Direction = Direction;

          if (Value != null)
            Param.Value = Value;

          return Param;
        }

		//公有方法,实例化一个用于调用存储过程的输入参数
		//输入:
		//      ParamName - 参数名称
		//      DbType		- 参数类型
		//      Size			- 参数大小
		//			Value			- 值
        public SqlParameter MakeInParam(string ParamName, SqlDbType DbType, int Size, object Value) 
        {
          return MakeParam(ParamName, DbType, Size, ParameterDirection.Input, Value);
        }		</span>


   总结

    通过引入ParameterDirection,一方面提高了查询的效率,另一方面更增加了传值得安全性。




LuckyZhouStar
关注
专栏目录
SQL参数化SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
参数化查询为什么能够SQL注入
01-30
很多人都知道SQL注入,也知道SQL参数化查询可以SQL注入,可为什么能止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
参数化SQL注入
12-13 126
现在SQL注入最常用的方法基本上就是参数化条件了。 原理是因为用这种方式处理时,数据库服务器会先编译传入的SQL语句,而不把参数代入。编译完成后再把参数替换。所以你的注入是无法被执行的。 比如用PHP实现。 1.mysql_query类型函数实现 $query = sprintf('select * from book where id = "%s"', '33'...
SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
xiaoganbuaiuk的博客
07-09 2636
SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询
【转载】51CTO-参数化查询为什么能够SQL注入
weixin_30258027的博客
05-31 155
很多人都知道SQL注入,也知道SQL参数化查询可以SQL注入,可为什么能止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。 首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 -&gt...
参数化查询sql注入漏洞
weixin_30385925的博客
03-19 350
参数化查询sql注入漏洞攻击   这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。  首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,但是,这种方法存在一定的缺陷,在这里不做讨论...
SQL注入 生成参数化的通用分页查询语句
01-01
想要SQL注入,只能对输入的参数进行过滤,例如将一个单引号“’”转换成两个单引号“””,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效SQL注入,只有参数化查询才是最终的...
参数化查询为什么能够SQL注入[整理].pdf
10-12
参数化查询为什么能够SQL注入 参数化查询是一种SQL注入的有效方法,但很多人不知道为什么参数化查询能够SQL注入。下面,我们将一步一步的解释为什么SQL注入发生和参数化查询如何SQL注入。 首先,...
浅析SQL Server参数化查询
12-14
实际上,参数化查询不仅是SQL注入的有效手段,它还有助于数据库引擎更高效地处理查询。因为参数化查询使得SQL语句的结构与数据分离,数据库解析器能够预编译和缓存查询计划,从而减少解析和编译时间,提高执行...
sql注入参数化查询
weixin_30432007的博客
04-04 163
参数化查询为什么能够SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://msdn.microsoft.com/en-us/library/system.data.oledb.oledbdataadapter.aspx Sql Server 编译、重编...
参数化命令(SQL注入
初学者
03-19 2644
1. 参数化命令相关知识点:(SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
参数化登陆SQL注入攻击
blacop的博客
11-12 444
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Data
参数化查询语句SQL注入
李公子的博客
09-15 2220
1.什么是SQL注入,为什么要SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
参数化命令相关知识点之==================SQl的注入
weixin_30809173的博客
04-13 58
一: 使用参数化命令查询DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; //使用Using的稀少资源的释放 using(sqlconnection con=new sqlconnection(str)) { string sql="select * fr...
SQL注入的参数传值
lovejesuslove的博客
03-21 674
GetDb_ZY zy = new GetDb_ZY();                 SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["CPWP-ZY-ConnectionString"].ToString());                 SqlCommand cmd = n
sql注入SQL注入参数化处理
weixin_30621711的博客
11-25 210
sql注入的两种情况: 操作代码: import pymysql user = input('用户名: ').strip() pwd = input('密码: ').strip() # 链接 conn = pymysql.connect(host='localhost', user='root', password='123', database='db1', charse...
参数化 SQL止注入的原理
Bingo
03-25 2248
转载:http://bbs.csdn.net/topics/390667952基本的注入方式注入的思想就是构造非法的sql语句。 string sql="select * from tb where username='" + username + "'"; 现在如果,我大概知道你的管理员表的表名是 admins, 我要往里面加一条记录,或者清空你的管理员表, 针对于上面一条语句, 我需要构造的
php 下进行mysql参数化查询
Dexter's Laboratory
02-24 2415
记录一下,php下的mysql参数化查询 [php] view plain $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",                      mysql_real_escape_string($Username),
SQL参数化查询止注入的原理解析
本文将探讨为什么参数化查询能够SQL注入,并简述SQL执行的基本流程。" 在数据库操作中,SQL注入攻击通常是由于程序动态构建SQL语句,未对用户输入进行充分的验证或转义导致的。攻击者可以通过构造特殊的输入,...
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值