简单的情况下,都是在前台输入要插入的数据,然后后台直接把输入的数据连接到SQL语句上,就很容易遭到SQL注入的问题。
比如:
string sql=”insert into category(name) values(‘ ”+name+” ’)"; //这样的数据输入是通过双引号进行的字符串拼接"+字符串
注入语句:aaa’)delete category where-- //--表示,--后面的代码被注释掉后,就不执行了
而在单独的SQL语句中:insert into category(name) values(‘aaa’)
insert into category(name) values(‘aaa’)delete category where--')
若要防止SQL注入,可以使用带参数的@字符串,表示参数而不是字符串;
string sql=”insert into category(name) values(@caName)"; //去掉@caName外面本来的单引号
接下来时赋值给@caName:
SqlCommand.Parameters.Add(new SqlParameter ("@caName “,"jazyzheng"));//把jazyzheng赋值到参数caName中
重新赋值为SQL注入语句:
SqlCommand.Parameters.Add(new SqlParameter ("@caName “,"aaa’)delete category where--"));
当在前台输入数据后(aaa’)delete category where--),数据是通过参数传入的,而不是通过直接的字符串拼接方式传入,所以输入的数据会直接被当做参数,而不会当做字符串而执行字符串中的SQL语句。
有SqlCommand.Parameters.Add(),也有SqlCommand.Parameters.AddRange()。
有时候插入的SQL语句参数不止一个,比如当插入新闻的时候,就会插入诸如标题,内容,时间等多个参数。AddRange传入的是一个数组。
SqlCommand.Parameters.AddRange(new SqlParameter[]
{
new SqlParameter("@caName","jazyzheng ")
});
比较完整的代码:
public int ExecuteNonQuery(string sql, SqlParameter[] paras)
{
int res;
using (cmd = new SqlCommand(sql, GetConn()))
{
cmd.Parameters.AddRange(paras);
res = cmd.ExecuteNonQuery();
}
return res;
}
public bool Insert(string caName)
{
bool flag = false;
string sql = "update category set [name]=@caName where id=@id";//需引用using System.Data.SqlClient;
SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@id",ca.Id),
new SqlParameter("@caName",ca.Name)
};
int res = sqlhelper.ExecuteNonQuery(sql, paras);
if (res > 0)
{
flag = true;
}
return flag;
}
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16436858/viewspace-660260/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/16436858/viewspace-660260/
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
