参数化提交SQL语句和拼接SQL语句安全性分析 SQL注入 简单对比分析

最新推荐文章于 2022-03-21 12:12:10 发布
最新推荐文章于 2022-03-21 12:12:10 发布
阅读量164 收藏
点赞数
文章标签: xhtml ui c#
原文链接:http://www.cnblogs.com/smartsmile/archive/2013/04/12/6234296.html
版权 
<%@ Page Language="C#" AutoEventWireup="true" CodeFile="LoginTest.aspx.cs" Inherits="LoginTest" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title>参数化提交SQL语句和拼接SQL语句安全性分析 SQL注入 简单对比分析</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        用户名:<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox><br />
        <br />
        <br />
        密码:<asp:TextBox ID="TextBox2" runat="server"></asp:TextBox><br />
        <br />
        <br />
        <asp:Button ID="Button1" runat="server" Text="SQL传递参数" OnClick="Button1_Click" />  
        <asp:Button ID="Button2" runat="server" Text="SQL拼接语句" OnClick="Button2_Click" />
    </div>
    </form>
</body>
</html>


 

using System;
using System.Collections.Generic;
using System.Data;
using System.Data.Common;
using System.Data.SqlClient;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using MSCL;

public partial class LoginTest : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        //本文仅对 参数化提交SQL语句和拼接SQL语句安全性分析 SQL注入 简单对比分析
        //至于各位在程序中 进行SQL危险字符检测和过滤 不在此讨论范围
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
        string UserName = TextBox1.Text.Trim();
        string Pwd = TextBox2.Text.Trim();

        //实例化Connection对象     
        SqlConnection connection = new SqlConnection("server=localhost;database=demo;uid=sa;pwd=smile");
        connection.Open();
        //实例化Command对象     
        SqlCommand command = new SqlCommand("SELECT COUNT(*) FROM USERINFO WHERE USERNAME=@USERNAME AND UPWD=@UPWD", connection);
        //第一种添加查询参数的例子     
        SqlParameter para1 = new SqlParameter("@USERNAME", SqlDbType.NVarChar, 50);
        para1.Value = UserName;
        command.Parameters.Add(para1);//添加参数     

        SqlParameter para2 = new SqlParameter("@UPWD", SqlDbType.NVarChar, 50);
        para2.Value = Pwd;
        command.Parameters.Add(para2);//添加参数     

        try
        {
            int i = Convert.ToInt32(command.ExecuteScalar());
            if (i > 0)
            {
                Response.Write("成功");
            }
            else
            {
                Response.Write("失败");
            }

        }
        catch { }
        finally
        {
            connection.Close();
        }  
        
        /*
        SqlParameter[] parameters ={ 
             new SqlParameter("@USERNAME",SqlDbType.NVarChar,50),
	         new SqlParameter("@UPWD",SqlDbType.NVarChar,50)};
        parameters[0].Value = UserName;
        parameters[1].Value = Pwd;
        string sql = "SELECT COUNT(*) FROM USERINFO WHERE USERNAME=@USERNAME AND UPWD=@UPWD";
        int i = Convert.ToInt32(MSCL.SqlHelper.GetSingle(sql, parameters));
        if (i > 0)
        {
            Response.Write("成功");
        }
        else
        {
            Response.Write("失败");
        }
        */
    }

    protected void Button2_Click(object sender, EventArgs e)
    {
        string UserName = TextBox1.Text.Trim(); //随便输入
        string Pwd = TextBox2.Text.Trim(); //典型SQL登陆注入 输入  a' or '1'='1
        object obj = MSCL.SqlHelper.GetSingle("SELECT COUNT(*) FROM USERINFO WHERE USERNAME='" + UserName + "' AND UPWD='" + Pwd + "' ");
        if (Convert.ToInt32(obj) > 0)
        {
            Response.Write("成功");
        }
        else
        {
            Response.Write("失败");
        }
    }
}


 

转载于:https://www.cnblogs.com/smartsmile/archive/2013/04/12/6234296.html

diehe5608
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码里使用字符串操作来拼接sql语句的坏处
jihuanliang的专栏
01-16 1万+
1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句
mybatis直接传值拼接sql语句和作为参数传值的用法
bsegebr的博客
03-28 524
1、直接传值拼接sql语句 用${传递的参数} 2、作为参数传值 用#{传递的参数,参数的类型}
SQL 拼接语句输出_web安全之SQL注入基础
weixin_39779928的博客
11-21 248
本文以mysql数据库来介绍SQL注入原理产生SQL注入的原因一句话解释就是:服务端未对用户输入参数做处理,导致用户可以提交包含SQL语句的参数,服务端获取参数拼接带入数据库执行以一个示例做解释:输入参数id=1,后端执行的SQL语句如下红体字,绿体字输出了id为1的用户信息那么当输入参数 1' or '1'='1 时,后端语句如下图红体字,查询结果说明 or '1'='1' 这个恒真条件带入了数...
Java安全编码
Zichel77的博客
03-21 5168
文章目录Java编码安全数据校验规则1.1:校验跨信任边界传递的不可信数据规则1.2:禁止直接使用不可信数据来拼接SQL语句规则1.4:禁止直接使用不可信数据来记录数据规则1.6:验证路径前将其标准化规则1.7:安全的从ZipInputStream提取文件规则1.8:禁止未经验证的用户输入直接输出到HTML界面规则1.10: 禁止程序数据进行增、删、改、查时对客户端请求的数据过分相信而遗漏对于权限的判定规则1.11:敏感数据在跨信任域之间传递采用签名加密传输 Java编码安全 本文根据Java安全开发Che
拼接 sql 防注入
new Girl的博客
09-30 1537
--变量的方式接受字符串值可以防注入 DECLARE @mark0 nvarchar(500); set @mark0=''','''','''','''') delete T_TASK_SUBORDER where SUBID =''0A76A5187D6A48968027100BDF4B3148'''; INSERT INTO T_TASK_SUBORDER(COMPANYID,SUBID,...
SQL注入 生成参数化的通用分页查询语句
01-01
但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写...
sql语句中用问号代替参数
08-02
这种方式被称为预编译语句或参数化查询,它具有重要的安全性和性能优势。 ### SQL参数化查询的概念 参数化查询允许将变量值插入到SQL语句中,而不是直接将它们拼接到字符串中。问号是大多数数据库系统用来表示这些...
易语言动态拼接sql语句
07-20
在编程领域,动态拼接SQL语句是一种常见的技术,它允许程序在运行时根据需要构建SQL查询。在易语言这个中国本土化的编程环境中,动态拼接SQL同样具有重要的应用价值。易语言以其独特的汉字编程风格,降低了编程的...
动态拼接sql语句.rar
04-06
以下是一个简单的易语言动态拼接SQL语句的例子: ```易语言 .条件 = "age > " + .用户输入的年龄 .sql = "SELECT * FROM users WHERE " + .条件 .结果 = 执行SQL(.sql) ``` 在这个例子中,`.条件`变量根据用户的年龄...
Python MySQLdb 执行sql语句时的参数传递方式
09-08
总之,当使用Python的MySQLdb或类似库执行SQL语句时,应优先考虑使用安全的参数化查询,如通过`%s`占位符和字典传参,以提高代码的安全性和可维护性。同时,查阅官方文档和标准教程是学习和理解这些功能的关键。
sql拼接:不要拼接Sql,而要使用参数的好处
01-11
sql拼接:不要拼接Sql,而要使用参数的好处 在实际开发中,经常会需要对数据库进行访问,最常见的开发方法就类似
asp执行带参数的sql语句实例
10-25
在ASP(Active Server Pages)开发中,执行带...总之,通过参数化SQL语句,ASP开发者可以确保用户输入的数据不会直接拼接SQL查询中,从而提高应用的安全性。这种方法不仅防范了SQL注入,还使得代码更易于维护和调试。
Web安全之SQL注入
01-21
SQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。当Web应用程序的开发人员对用户所输入的数据不进行过滤或验证(即存在注入点...
SqlServer参数化查询之where in和like实现详解
12-15
SQL Server中,参数化查询是一种安全且高效的执行SQL的方式,它可以有效防止SQL注入,并在大量数据查询时提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其...
SQL语句-常用的sql语句生成器.zip
最新发布
02-21
- **SQL注入**:一种常见的网络安全攻击方式,用户应避免在动态SQL中直接拼接用户输入,而应使用参数化查询。 - **索引优化**:合理创建和使用索引可以显著提升查询速度,但过多的索引会影响写操作性能。 - **...
存储过程 参数化SQLSQL 效率VS实用VS
Sky 的专栏
03-16 1947
先站在应用程序的角度说说它们的不同。 1、 直接拼SQL 就像大家了解的那样,直接拼SQL带来了SQL注入攻击,带来了拼时些许的性能损失,但是拼不用添加SqlParameter,会少写很多代码——很多人喜欢直接拼,也许就因为这点。这种做法会把你拼好的SQL原样直接发送到DB服务器去执行。(注意类似”exec yourproc ‘param1’, 12”的语句不在此范畴,这是调用存储过程的一种方
SQL注入实例:避免后端SQL语句拼接操作
李谦的博客
05-23 8833
1 实例-后端逻辑 以下是基于pymysql的一个例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db='user_table', charset='utf-8') cursor = conn.cursor() def query_key...
java delegate怎么写_Java开发的菜鸟们,快来看一下你的sql拼接是怎么写的
weixin_39806603的博客
11-21 84
我们看下面几行简单的代码String sql = "select * from user where id=" + id;一行中,id进行了直接的拼接,那么id这个参数会通过用户来传递进来,这样很容易照成sql注入,从而被黑客利用进行脱裤。@RequestMapping("/SqlInjection/{id}") public ModelAndView SqlInjectTest(@PathVa...
使用参数化SQL查询语句,避免将用户输入的数据直接拼接SQL语句中。举例
05-26
我们可以使用参数化SQL查询语句来避免将用户输入的数据直接拼接SQL语句中,从而防止SQL注入攻击。 示例代码如下: ```python import sqlite3 # 连接数据库 conn = sqlite3.connect('users.db') cursor = conn...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值