参数化查询

最新推荐文章于 2021-02-08 04:21:10 发布
最新推荐文章于 2021-02-08 04:21:10 发布
阅读量358 收藏
点赞数
分类专栏: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfsht/article/details/53054497
版权
参数化查询的优势:

        可以增强代码的安全性




// ---------------------------------------配置文件----------------------------------------------------------------------------

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <startup>
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5" />
    </startup>
  <connectionStrings>
    <add name="sql" connectionString="server=.;database=MySecondDB;uid=sa;pwd=520;"/>
  </connectionStrings>
</configuration>


//---------------------------------------Program.cs-------------------------------------------------------------------------

using System;
using System.Collections.Generic;
using System.Configuration;
using System.Data.SqlClient;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace 参数化登陆
{
    class Program
    {
        static void Main(string[] args)
        {
            // 用户输入
            Console.WriteLine("uid:");
            string uid = Console.ReadLine();
            Console.WriteLine("pwd:");
            string pwd = Console.ReadLine();

            // 验证
            string connStr = ConfigurationManager.ConnectionStrings["sql"].ConnectionString;

            // 1 修改sq语句
            string sql = "select count(*) from loginPrimaryTest where uid=@uid123 and pwd=@pwd;";

            // 2 参数赋值
            SqlParameter pUid = new SqlParameter("@uid123", uid);
            SqlParameter pPwd = new SqlParameter("@pwd", pwd);

            //
            int count;
            using (SqlConnection conn = new SqlConnection(connStr))
            {
                using (SqlCommand cmd = new SqlCommand(sql, conn))
                {
                    // 3 将参数交给cmd
                    cmd.Parameters.Add(pUid);
                    cmd.Parameters.Add(pPwd);
                    conn.Open();
                    count = (int)cmd.ExecuteScalar();
                }
            }

            if (count > 0)
            {
                Console.WriteLine("登陆成功");
            }
            else
            {
                Console.WriteLine("登陆失败");
            }

            Console.ReadKey();
        }
    }
}

cfsht
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析SQL Server参数化查询
12-14
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。   相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视   错误认识1.不需要防止sql注入的地方无需参数化   参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK   错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别   以前也一直都觉的加与不加参数长度
SqlServer参数化查询之where in和like实现详解
09-11
在SQL Server中,参数化查询是一种优化查询性能的重要方法,尤其是在处理大量数据时。它能够防止SQL注入攻击,并且能够更好地利用数据库的查询缓存,提高执行效率。本文将详细讲解如何实现`WHERE IN`和`LIKE`操作的...
浅析Sql Server参数化查询
weixin_33726943的博客
04-21 238
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。 相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视 错误认识1.不需要防止sql注入的地方无需参数化  参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
mysql参数化sql语句_mybatis的sql参数化查询
weixin_39716510的博客
02-08 840
我们使用jdbc操作数据库的时候,都习惯性地使用参数化的sql与数据库交互。因为参数化的sql有两大有点,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数化sql的过程,以及和非参数化sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程中,如果使用的是本地的mysql的话,jav...
pdo中使用参数化查询sql
10-28
在PDO中使用参数化查询是一种重要的安全实践,其核心理念是将SQL语句中的参数与数据分离,以防止SQL注入攻击(SQL Injection)。 参数化查询的安全原理在于,当数据库系统处理一条SQL语句时,它会将参数视为一个...
SQLServer 参数化查询经验分享
09-11
SQL Server参数化查询是一种高效的查询处理技术,它允许SQL语句使用可变的参数,以减少重复编译和优化查询的开销。这种方式对于频繁执行的相似查询尤其有用,因为它们可以共享同一个执行计划,从而提升数据库系统的...
sql 参数化查询
weixin_30477293的博客
12-16 161
  在初次接触sql时,笔者使用的是通过字符串拼接的方法来进行sql查询,但这种方法有很多弊端 其中最为明显的便是导致了sql注入。   通过特殊字符的书写,可以使得原本正常的语句在sql数据库里可编译,而输入者可以达到某些非法企图甚至能够破坏数据库。   而参数化查询有效解决了这个问题,参数化查询是通过将传入的sql语句其他部分进行编译后再将其需要查询的数据插入其中然后...
SQL(参数化)的查询
07-30 5212
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
参数化查询原理
王如霜
02-08 6511
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
sql注入参数化查询
最新发布
07-02
参数化查询(Parametrized Query)是一种防止SQL注入的有效方法,它的核心思想是在执行SQL语句时将用户提供的数据作为参数传递,而不是直接拼接到SQL语句中。 具体来说,参数化查询的工作原理如下: 1. **预编译**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值