c#防止sql注入,使用参数化,而不是字符串连接

最新推荐文章于 2024-09-11 09:56:08 发布
最新推荐文章于 2024-09-11 09:56:08 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdfghjkl110292/article/details/100017059
版权

参数化查询可以防sql注入是因为执行计划重用具体可以看这个博客
https://www.cnblogs.com/qanholas/p/3298890.html

   SqlConnection conn = new SqlConnection("连接数据库的字符串");
   SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn);
   SqlParameter parm1 = new SqlParameter("@user", SqlDbType.VarChar, 50);   //如果有数字(50),那么这个字段是必须的,缺少会不执行此语句
   parm1.Value = user;
   SqlParameter parm2 = new SqlParameter("@password", SqlDbType.VarChar);
   parm2.Value = password;

   comm.Parameters.Add(parm1);
   comm.Parameters.Add(parm2);

   conn.Open();
   object bujidao = comm.ExecuteScalar();

sqlcommand的几个函数

1、查询


comm.ExecuteScalar();  //返回结果集中的第一行第一列,用于查询

2、执行删除,修改

int i =  Convert.ToInt32(cmd.ExecuteNonQuery());   //返回Int

3、异步执行增删改查

 comm.EndExecuteReader();//并返回sqldatereader

4、sql 参数化 的dbhelper

using System;
using System.Collections.Generic;
using System.Configuration;
using System.Data;
using System.Data.SqlClient;
using System.Linq;
using System.Web;

namespace manager.Models
{
    public class SecureDBHelper
    {
        //这里最好用配置文件

        private readonly static string connstr = ConfigurationManager.ConnectionStrings["Conn"].ConnectionString;//这个是连接字符串

        /// <summary>
        /// 返回受影响的行数
        /// </summary>
        /// <param name="cmdText">cmd的sql语句</param>
        /// <param name="parameter">参数赋值的SqlParameter[]</param>
        /// <returns></returns>
        public static int ExecuteNonQuery(string cmdText, params SqlParameter[] parameter)
        {   //使用using可以自动释放资源

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();      //打开数据库连接

                using (SqlCommand cmd = conn.CreateCommand())   //创建连接命令   
                {
                    cmd.CommandText = cmdText;      //设置连接命令的SQL语句  

                    cmd.Parameters.AddRange(parameter);//参数化使用

                    return cmd.ExecuteNonQuery();    //返回执行受影响的行数      

                }

            }

        }
        /// <summary>
        /// 返回查询语句的第一行的第一列
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameter"></param>
        /// <returns></returns>
        public static object ExecuteScalar(string cmdText, params SqlParameter[] parameter)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = cmdText;

                    cmd.Parameters.AddRange(parameter);

                    return cmd.ExecuteScalar();

                }

            }

        }


        /// <summary>
        /// 
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameters"></param>
        /// <returns>返回datatable</returns>
        public static DataTable ExecuteDataTable(string cmdText, params SqlParameter[] parameters)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();
                using (SqlCommand cmd = new SqlCommand(cmdText, conn))
                {
                    cmd.Parameters.AddRange(parameters);
                    using (SqlDataAdapter da = new SqlDataAdapter(cmd))
                    {
                        DataTable dt = new DataTable();
                        da.Fill(dt);
                        return dt;
                    }
                }
            }
        }
        /// <summary>
        /// 
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameters"></param>
        /// <returns>返回datareader</returns>
        public static SqlDataReader ExecuteDataReader(string cmdText, params SqlParameter[] parameters)
        {

            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();
                using (SqlCommand cmd = new SqlCommand(cmdText, conn))
                {
                    cmd.Parameters.AddRange(parameters);
                    return cmd.ExecuteReader();
                }
            }
        }
        /// <summary>
        /// 返回dataset
        /// </summary>
        /// <param name="cmdText"></param>
        /// <param name="parameter"></param>
        /// <returns></returns>
        public static DataSet GetList(string cmdText, params SqlParameter[] parameter)
        {
            using (SqlConnection conn = new SqlConnection(connstr))
            {
                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = cmdText;

                    cmd.Parameters.AddRange(parameter);

                    using (SqlDataAdapter adapter = new SqlDataAdapter(cmd))
                    {

                        DataSet ds = new DataSet();

                        adapter.Fill(ds);

                        return ds;

                    }

                }

            }

        }

    }

}

连接字符串在web.config中配置

 <connectionStrings>
    <add name="Conn" connectionString="Data Source=数据库;Initial Catalog=filemaneger;Persist Security Info=True;User ID=账号;Password=密码" />
  </connectionStrings>
图纸t
关注
专栏目录
C#参数化(防止SQL注入)
ICE FROG的博客
11-18 5568
/* * C#防止SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 *//* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块漏洞上添加了一个类来处理这个问题: * SqlParameter - using
C#防止SQL注入的MYSQL连接方法 原理:参数化查询
qq_64948696的博客
01-02 499
【代码】C#防止SQL注入的MYSQL连接方法 原理:参数化查询。
c#使用sql注入方式写入数据
最新发布
逍遥游的博客
09-11 932
try { if (this.textBoxTransparent2_3.Text == null || this.textBoxTransparent2_3.Text == "") { MessageBox.Show("MIS项目编号是必填项!"); this.textBoxTransparent2_3.Focus(); return; } else if (textBoxTransparent_path.Text == "" || textBoxTrans
C#参数化查询,避免SQL注入
11-03
一个可以避免SQL注入的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
C#SQL注入SqlParameter参数化
Mick_小马哥
03-20 1483
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = "select * from user where username='" + username + "' and password='" + password ...
sql 中 exists和 in如何选择
znanj的博客
09-09 969
如果外部查询是“大”和内部查询是“小”,IN是一般效率比EXISTS好。 如果外部查询是“小”和内部查询是“大”,那么EXISTS是相当有效的。
C#SQL注入代码的三种方法
12-31
 二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起...
C#使用带like的sql语句时防sql注入的方法
09-04
1. **参数化查询**:像示例代码中那样,使用参数化查询是防止SQL注入的最佳方法。在C#中,可以使用`SqlCommand`对象的`Parameters`集合,将变量作为参数而不是直接拼接到SQL语句中。在示例中,我们看到`@keywords`...
C#实现String字符串转化为SQL语句中的In后接的参数详解
12-23
实现把String字符串转化为In后可用参数代码: public string StringToList(string aa) { string bb1 = "("; if (!string.IsNullOrEmpty(aa.Trim())) { string[] bb = aa.Split(new string[] { "\r\n", ",", ";...
SqlServer:使用IN()子句C#进行参数化查询
04-07
参数化查询是防止SQL注入攻击的有效方法,因为它将用户输入的数据与查询结构分离,避免了直接拼接字符串生成SQL语句。 在C#中,我们可以使用ADO.NET库来实现这个功能。ADO.NET提供了SqlConnection、SqlCommand、Sql...
c# sqlserver2008 简单的SQL注入演示
07-31
简单的程序,提供对sql注入的基本演示。
C#SQL注入
09-17
C#SQL注入,主要是程序上有漏洞, 尽可能全的过滤SQL敏感的语句, 先把数据库里面注入的代码替换掉
C#SQL注入SQL参数化
houyanhua1的专栏
12-13 3623
//解决SQL注入漏洞 cmd是SqlCommand对象 cmd.CommandText = @"select count(*) from UserInfo where UserName=@UserName and UserPwd=@UserPwd"; cmd.Parameters.AddWithValue("@UserName",txtUserName.Text); //SQL参数化 cmd
一文分析SQL参数化查询为何能防止SQL注入
我的博客,不一样的自我表达
03-26 319
4、预处理 SQL 是如何防止 SQL 注入的待执行的 SQL 被编译后存放在缓存池中,DB 执行 execute 的时候,并不会再去编译一次,而是找到 SQL 模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。– 预处理编译 SQL ,会占用资源set@a@a;– 使用 DEALLOCATE PREPARE 释放资源。
参数化查询为什么能够防止SQL注入
04-02 4878
参数化查询,防止sql注入漏洞攻击   在这次重构机房收费系统中,有效的解决了SQL注入的问题,这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。   首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , selec
面试官问你 SQL 注入攻击了吗?
zone_的博客
04-06 317
目录为什么要聊 SQL 注入攻击?什么是 SQL 注入攻击?如何进行 SQL 注入攻击?如何防范?常见面试题瞎比比为什么要聊 SQL 注入攻击?我这人有个想法,就是不管自己跳不跳槽,每年...
c# cs方式操作数据库 非使用sql连接字符串直接连接数据库
足球中国的专栏
11-15 3846
.net 底层数据库传输程序 分为服务器端与客户端 此程序作用有: 1.解决直连数据库有相当大的安全隐串。 2.大广域网使用时,大数据的查询相当的时候是耗在网速传输,这个解决了大数据量传输的问题。大数据量进行压缩可以 提高速度7~40倍。 3.由于此框架底层使用tcp作为连接,可以发即时消息。实时传文件。可以作为,程序提交表单,时时提醒功能。 4.兼容三层框架。三层框架程序几乎不需要改动就可以直接使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值