防止SQL注入-参数化SQL例代码asp.net

最新推荐文章于 2018-04-27 11:18:07 发布
最新推荐文章于 2018-04-27 11:18:07 发布
阅读量470 收藏
点赞数
分类专栏: 数据库相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guywei/article/details/17508643
版权

/// <summary> /// 更新一条数据 /// </summary> public void Update(Web.Model.T_Class model) { StringBuilder strSql = new StringBuilder(); strSql.Append("update T_sadfsd set "); strSql.Append("CName=@CName,"); strSql.Append("CFatherID=@CFatherID"); strSql.Append(" where CID=@CID "); SqlParameter[] parameters = { new SqlParameter("@CID", SqlDbType.Int,4), new SqlParameter("@CName", SqlDbType.NVarChar,50), new SqlParameter("@CFatherID", SqlDbType.Int,4)}; parameters[0].Value = model.CID; parameters[1].Value = model.CName; parameters[2].Value = model.CFatherID; DbHelperSQL.ExecuteSql(strSql.ToString(), parameters); }
========================================================================================================================= 
     
     

      
      string
      
       sql 
      
      =
      
       
      
      "
      
      insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power)
      
      "
      
      ;
        SqlConnection connection 
      
      =
      
       
      
      new
      
       SqlConnection();
        connection.ConnectionString 
      
      =
      
       
      
      ""
      
      ;
      
      //
      
      此处设置链接字符串
      
      

      
              SqlCommand command 
      
      =
      
       
      
      new
      
       SqlCommand(sql, connection);
        command.Parameters.Add(
      
      "
      
      @UserName
      
      "
      
      ,SqlDbType.NVarChar, 
      
      60
      
      ).Value 
      
      =
      
       userName;
        command.Parameters.Add(
      
      "
      
      @Password
      
      "
      
      , SqlDbType.NVarChar, 
      
      60
      
      ).Value 
      
      =
      
       password;
        command.Parameters.Add(
      
      "
      
      @Remark
      
      "
      
      , SqlDbType.NVarChar, 
      
      60
      
      ).Value 
      
      =
      
       remark;
        command.Parameters.Add(
      
      "
      
      @Mail
      
      "
      
      , SqlDbType.NVarChar, 
      
      60
      
      ).Value 
      
      =
      
       mail;
        command.Parameters.Add(
      
      "
      
      @DepartId
      
      "
      
      , SqlDbType.Int, 
      
      4
      
      ).Value 
      
      =
      
       departId;
        command.Parameters.Add(
      
      "
      
      @Power
      
      "
      
      , SqlDbType.Int, 
      
      4
      
      ).Value 
      
      =
      
       power;
        connection.Open();
        
      
      int
      
       rowsAffected 
      
      =
      
       command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
        
      
      return
      
       rowsAffected 
      
      >
      
       
      
      0
      
      ;

     
     

     
     

      
      =========================================================================================================================
guywei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net设置数据访问类(sql参数化
WithHeartAndSoul的专栏
08-07 774
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data.SqlClient;using System.Data;namespace MyCommunityDAL{    public static class GetConnection    {        private static SqlConnection _connection;        ///
参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET ...
weixin_33897722的博客
03-09 196
防止SQL注入漏洞攻击的有两种方法: 1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法, 2)参数化查询SQL语句 举如下: //实化Connect...
.NET中参数化查询数据库
09-04 844
一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()) {   con.ConnectionString ="************************";   con.Open();
最简单有效的SQL防注入的两种方法
ddy2000的专栏
08-22 751
数据库系统,一个重要的问题是防止注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
关于防止sql注入的几种手段
轩辕一战
11-24 887
 转自:http://www.cnblogs.com/perfectdesign/archive/2009/11/24/sqlinjection1.html   关于防止sql注入的几种手段(一) 其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这
ASP.NET防止SQL注入的方法示
01-20
因此,更推荐结合其他更强大的防护手段,如使用ORM框架(如Entity Framework)或SQL参数化查询,以及使用OWASP的ESAPI库进行输入验证。 最后,对于开发者来说,时刻保持对安全性的警惕至关重要。定期进行代码审计,...
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
防止SQL注入的最佳实践是采用参数化SQL查询,这种方法在新项目中应优先考虑。参数化查询可以确保输入的数据被正确地作为数据处理,而不是作为SQL命令的一部分,从而消除注入风险。 然而,对于那些已经使用了拼接SQL...
asp.net 防止SQL注入攻击
10-29
同时,数据库操作应该总是使用参数化SQL查询或者存储过程,以消除SQL注入的风险。 总结来说,通过在Global.asax中配置Web.config中的安全参数设置,并且利用parameterCheck.cs数据验证类进行输入验证,可以在整个...
ASP.NET编程知识】ASP.NET防止SQL注入的方法示.docx
最新发布
05-20
如,在 ASP.NET 中,我们可以使用 SqlParameter 对象来参数化查询语句,从而防止恶意的 SQL 代码。 2. 传统的笨一点的办法 如果我们不想使用参数法防注入,可以使用传统的笨一点的办法。这种方法是通过在 Global...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
SQL参数化排序详解
soarheaven的专栏
10-22 2019
编写一个储存过程usp_GetSortedShippers,它接收Northwind数据库中Shippers表的一个列名称作为其中一个输入(@colname),并从该表返回按输入的列名排序的行。另一个输入(@sortdir)表示排序的方向,‘A’表示按升顺排序,‘D’表示按降序排序。编写该存储过程时要注意它的性能,即,尽可能的使用索引(如,排序列上的聚集或非聚集覆盖索引)。 代码清单7-4是
C# 使用参数化SQL语句
我的编程世界
02-13 1万+
之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢? 登录成功后,显示的主窗体,如下图: 这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体
C# asp.netsql like in 参数化
编程技术文档
01-27 7054
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
利用sql预处理语句 防止sql注入
grace_fang的博客
10-12 1056
写一个简单的登陆系统 前端代码 登录页面 username: password: > 后台提交至 doLogin.php <?php header('content-type:text/html;charset=utf-8'); $mysqli=new mysqli('localhost','root','','test'); if($mys
ASP.NET参数化查询
whaxrl的专栏
04-10 1914
一、参数化查询原理 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入
sql-为什么占位符可以防止sql注入
登峰小蚁
04-27 6778
为什么占位可以防止sql注入,不从什么预编译的角度来将,直接上源码,下面是mysql jar包中的setString方法。以select * from user where id = ?语句为,传入1 or 1=1 ,如果是最后sql为select * from user where id = 1 or 1=1,那么显然会查出所有的数据,但实际没有,为什么?因为传入的参数经过下面的处理,会在前后...
ADO.NET(四) 参数化sql和简单的 增删改查
11-23 4114
ExecuteScalar()方法通过SELECT语句返回查询结果中的第一行第一列的值,该方法常用于执行返回单个字段的 查询,如count(),max()等。 ExecuteNonQuery()方法执行返回结果集的命令,如insert delete update。这个方法返回一个信息--受影响的 行数,如果不是insert delete update 则返回-1。 为了防止sql注入漏洞我
ASP.NET参数化SQL语句(SQL SERVER)
SpiderManSun的博客
03-24 2509
设计项目时,为了防止SQL注入,有很多种方法,一种是通过编写存储过程来防止SQL注入,使用这种方法可以提高性能,但是对于查询语句可能存在多种不同的SQL语句,这就要编写很多存储过程,还有一种方法是通过参数化,在这里只介绍一下SQL SERVER的。 先来介绍查询: 普通的查询语句(未将密码加密):   select top 1* from adminDB where username='...
ASP.NET HttpModule防止SQL注入实战
"asp.net利用HttpModule实现防sql注入" ASP.NET是一个强大的Web应用程序...不过,更全面的安全策略应该结合其他防御机制,如使用参数化查询、存储过程,以及使用ORM(对象关系映射)框架,以进一步降低SQL注入的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值