c#防止sql注入,使用参数化,而不是字符串连接

最新推荐文章于 2024-05-12 17:20:14 发布
最新推荐文章于 2024-05-12 17:20:14 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdfghjkl110292/article/details/100017059
版权

参数化查询可以防sql注入是因为执行计划重用具体可以看这个博客
https://www.cnblogs.com/qanholas/p/3298890.html

   SqlConnection conn = new SqlConnection("连接数据库的字符串");
   SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn);
   SqlParameter parm1 = new SqlParameter("@user", SqlDbType.VarChar, 50);   //如果有数字(50),那么这个字段是必须的,缺少会不执行此语句
   parm1.Value = user;
   SqlParameter parm2 = new SqlParameter("@password", SqlDbType.VarChar);
   parm2.Value = password;

   comm.Parameters.Add(parm1);
   comm.Parameters.Add(parm2);

   conn.Open();
   object bujidao = comm.ExecuteScalar();

sqlcommand的几个函数

1、查询


comm.ExecuteScalar();  //返回结果集中的第一行第一列,用于查询

2、执行删除,修改

int i =  Convert.ToInt32(cmd.ExecuteNonQuery());   //返回Int

3、异步执行增删改查

 comm.EndExecuteReader();//并返回sqldatereader

4、sql 参数化 的dbhelper

using System;
using System.Collections.Generic;
using System.Configuration;
using System.Data;
using System.Data.SqlClient;
using System.Linq;
using System.Web;

namespace manager.Models
{
    public class SecureDBHelper
    {
        //这里最好用配置文件

        private readonly static string connstr = ConfigurationManager.ConnectionStrings["Conn"].ConnectionString;//这个是连接字符串

        /// <summary>
        /// 返回受影响的行数
        /// </summary>
        /// <param name="cmdText">cmd的sql语句</param>
        /// <param name="parameter">参数赋值的SqlParameter[]</param>
        /// <returns></returns>
        public static int ExecuteNonQuery(string cmdText, params SqlParameter[] parameter)
        {   //使用using可以自动释放资源

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();      //打开数据库连接

                using (SqlCommand cmd = conn.CreateCommand())   //创建连接命令   
                {
                    cmd.CommandText = cmdText;      //设置连接命令的SQL语句  

                    cmd.Parameters.AddRange(parameter);//参数化使用

                    return cmd.ExecuteNonQuery();    //返回执行受影响的行数      

                }

            }

        }
        /// <summary>
        /// 返回查询语句的第一行的第一列
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameter"></param>
        /// <returns></returns>
        public static object ExecuteScalar(string cmdText, params SqlParameter[] parameter)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = cmdText;

                    cmd.Parameters.AddRange(parameter);

                    return cmd.ExecuteScalar();

                }

            }

        }


        /// <summary>
        /// 
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameters"></param>
        /// <returns>返回datatable</returns>
        public static DataTable ExecuteDataTable(string cmdText, params SqlParameter[] parameters)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();
                using (SqlCommand cmd = new SqlCommand(cmdText, conn))
                {
                    cmd.Parameters.AddRange(parameters);
                    using (SqlDataAdapter da = new SqlDataAdapter(cmd))
                    {
                        DataTable dt = new DataTable();
                        da.Fill(dt);
                        return dt;
                    }
                }
            }
        }
        /// <summary>
        /// 
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameters"></param>
        /// <returns>返回datareader</returns>
        public static SqlDataReader ExecuteDataReader(string cmdText, params SqlParameter[] parameters)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();
                using (SqlCommand cmd = new SqlCommand(cmdText, conn))
                {
                    cmd.Parameters.AddRange(parameters);
                    return cmd.ExecuteReader();
                }
            }
        }
        /// <summary>
        /// 返回dataset
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameter"></param>
        /// <returns></returns>
        public static DataSet GetList(string cmdText, params SqlParameter[] parameter)
        {
            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = cmdText;

                    cmd.Parameters.AddRange(parameter);

                    using (SqlDataAdapter adapter = new SqlDataAdapter(cmd))
                    {

                        DataSet ds = new DataSet();

                        adapter.Fill(ds);

                        return ds;

                    }

                }

            }

        }

    }

}

连接字符串在web.config中配置

 <connectionStrings>
    <add name="Conn" connectionString="Data Source=数据库;Initial Catalog=filemaneger;Persist Security Info=True;User ID=账号;Password=密码" />
  </connectionStrings>
图纸t
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c#sql注入模糊查询_技术场景之解决SQL注入
weixin_32595533的博客
01-06 397
开篇前言以前的无知,造就了一场场线上事故,现在回想起来,不忍想象.而这篇文章,主要聊聊SQL注入.曾经的自己,因为没有对接口参数进行规范化处理,导致了数据库被恶意客户端把数据库爬得一干二净.当时非常气恼,现在回想起来,我还要谢谢那个人,谢谢你没有把数据库的数据全给我清空.01.什么是SQL注入SQL注入,指服务器接口对用户输入数据的合法性没有判断或过滤不严,导致恶意客户端可以通过在参数中...
c#如何解决SQL注入的问题
Tang_AHMET的博客
03-22 2243
c#如何解决SQL注入的问题 1:这个问题大部分是防止用恶意输入,以及特殊字符,如果是不是正确的就会删除,c#在vs链接数据库上一篇博文已经讲过了, 如何连接数据库, 参考:https://blog.csdn.net/Tang_AHMET/article/details/105020004 2:在注入的时候替换成@,后面在进行添加值 干货!直接贴代码 using System; using Sys...
SQL参数化防止SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
如何防止常见的Web应用程序安全漏洞(如SQL注入、跨站脚本攻击等)?
最新发布
wangnanofspirit的博客
05-12 621
防止常见的Web应用程序安全漏洞,如SQL注入和跨站脚本攻击(XSS),是确保Web应用程序安全性的重要方面。
面试官问你 SQL 注入攻击了吗?
zone_的博客
04-06 256
目录为什么要聊 SQL 注入攻击?什么是 SQL 注入攻击?如何进行 SQL 注入攻击?如何防范?常见面试题瞎比比为什么要聊 SQL 注入攻击?我这人有个想法,就是不管自己跳不跳槽,每年...
SQL数据库不用SQL语句能显示全表的内容_SQL注入是什么?如何防御SQL注入
weixin_40003767的博客
11-16 320
什么是SQL注入SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库(如M...
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 783
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
【快速理解】SQL注入与预防
仨仨的博客
04-15 548
本文主要防止SQL注入的常用方法、常见的SQL注入展开讲解。
C#SQL注入代码的三种方法
12-31
 二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起...
C#实现String字符串转化为SQL语句中的In后接的参数详解
08-25
需要注意的是,这个函数没有处理SQL注入的问题,实际应用中应使用参数化查询或者存储过程来避免SQL注入攻击。此外,此函数假设输入的字符串都是有效的值,没有进行额外的验证,如果用户输入的数据可能存在异常情况,...
SqlServer:使用IN()子句C#进行参数化查询
04-07
参数化查询是防止SQL注入攻击的有效方法,因为它将用户输入的数据与查询结构分离,避免了直接拼接字符串生成SQL语句。 在C#中,我们可以使用ADO.NET库来实现这个功能。ADO.NET提供了SqlConnection、SqlCommand、Sql...
C#检测是否有危险字符的SQL字符串过滤方法
09-04
在实际应用中,除了上述方法,还可以采取其他措施来增强安全性,比如使用参数化查询(PreparedStatement)或存储过程,这能够有效地防止SQL注入,因为它们会将用户输入的数据与SQL命令分开处理,从而消除注入的风险...
防御sql注入参数化查询
m0_55306747的博客
11-26 4697
概念:在sql语句中需要输入值的地方以参数进行给值 特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入 现状:不过即使参数化查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数化查询 需要熟悉各数据库中的变量形式: 假设变量为a1
C#MySQL 参数化查询类 防止SQL注入
一只没有感情的AI机械猿
04-17 545
【代码】C#MySQL 参数化查询类 防止SQL注入
C#中防治sql注入的帮助类
zhang123csdn的博客
12-09 1782
C#中防治sql注入的帮助类
C#防止SQL注入的MYSQL连接方法 原理:参数化查询
qq_64948696的博客
01-02 444
【代码】C#防止SQL注入的MYSQL连接方法 原理:参数化查询。
Sql注入详解(原理篇)
Naive的博客
09-11 9520
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
SQL注入详解
热门推荐
qq_48904485的博客
03-21 2万+
针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。 其成因可归结为以下两个原理叠加造成: 1、程序编写者在处理程序和数据库交互时,使用字符串凭借的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 SQL注入的攻击方式分为:报错注入、布尔盲注 、延时注入、堆叠查询、联合查询 、二次注入等等
C#怎么防止SQL注入
07-15
C# 中,可以采取以下措施来防止 SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句中,而不是直接将输入值嵌入到 SQL 查询字符串中。这样可以防止恶意输入被解释为 SQL 代码。例如,在使用 SqlCommand 执行查询时,可以使用 SqlParameter 对象来设置查询参数。 以下是使用参数化查询的示例代码: ```csharp string sqlQuery = "SELECT * FROM Users WHERE Username = @username AND Password = @password"; using (SqlCommand command = new SqlCommand(sqlQuery, connection)) { command.Parameters.AddWithValue("@username", username); command.Parameters.AddWithValue("@password", password); // 执行查询... } ``` 2. 输入验证和过滤:在接受用户输入之前,进行输入验证和过滤是一种重要的安全措施。可以使用正则表达式、白名单过滤或其他校验机制来验证用户输入。确保只接受预期的输入,并拒绝或处理任何异常或恶意的输入。 3. 限制数据库权限:为了最小化攻击面,应该为数据库连接使用具有最低权限的账户。确保数据库账户只有执行必要操作的权限,并限制对敏感数据的访问。 4. 避免拼接 SQL 字符串:尽量避免直接拼接用户输入的值到 SQL 查询字符串中。如果需要动态构建查询语句,可以使用 StringBuilder 或类似的工具来安全地构建查询字符串。 5. 使用存储过程:存储过程是预编译的 SQL 代码,可以防止 SQL 注入攻击。通过使用存储过程,可以将用户输入的值作为参数传递给存储过程,而不是直接嵌入到 SQL 查询中。 综上所述,采取这些措施可以帮助您有效地防止 SQL 注入攻击。但是请记住,安全是一个持续的过程,需要综合考虑多种安全性措施来保护应用程序和数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值