C# 参数化SQL

最新推荐文章于 2021-02-23 09:18:39 发布
最新推荐文章于 2021-02-23 09:18:39 发布
阅读量2.3k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hoxily/article/details/44240981
版权

参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。(这两段摘自百度百科,http://baike.baidu.com/view/3061939.htm )

----

try
{
    using (var connection = new SqlConnection(PubConstant.ConnectionString))
    {
        connection.Open();
        SqlCommand command = new SqlCommand("insert into FeedbackData(username, avatar, title, location, content, datetime)" +
            " values(@username, @avatar, @title, @location, @content, @datetime)"
        );
        SqlParameter parameter = null;

        parameter = new SqlParameter("@username", SqlDbType.NVarChar);
        parameter.Value = item.Username;
        command.Parameters.Add(parameter);

        parameter = new SqlParameter("@avatar", SqlDbType.NVarChar);
        parameter.Value = item.Avatar;
        command.Parameters.Add(parameter);

        parameter = new SqlParameter("@title", SqlDbType.NVarChar);
        parameter.Value = item.Title;
        command.Parameters.Add(parameter);

        parameter = new SqlParameter("@location", SqlDbType.NVarChar);
        parameter.Value = item.Location;
        command.Parameters.Add(parameter);

        parameter = new SqlParameter("@content", SqlDbType.NVarChar);
        parameter.Value = item.Content;
        command.Parameters.Add(parameter);

        parameter = new SqlParameter("@datetime", SqlDbType.DateTime);
        parameter.Value = item.Datetime;
        command.Parameters.Add(parameter);

        command.Connection = connection;
        command.ExecuteNonQuery();
        connection.Close();
        return true;
    }
}
catch (Exception ex)
{
    return false;
}


Hoxily
关注
C#MySQL 参数化查询类 防止SQL注入
一只没有感情的AI机械猿
04-17 585
【代码】C#MySQL 参数化查询类 防止SQL注入。
C#SQL语句参数写法
shenhaha001的专栏
04-02 3707
C#SQL语句参数写法leConnection oc=new OracleConnection("data source=osserver;User Id=****;password=**"); OracleCommand cmd=new OracleCommand("insert into cym1.uploadfile (filename,filecontent) values (:
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C#参数化(防止SQL注入)
One_Piece_Fu的博客
08-08 5812
转:https://blog.csdn.net/lsuwen/article/details/53224945 /* * C#防止SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 */ /* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块...
C#sql语句参数化防止sql注入
技术分享博客
02-23 968
C#sql语句参数化防止sql注入 public override bool AddConditions(string FormId, string FormName, string Conditions, string UserId, out string errorMsg) { errorMsg = ""; DbHelper _helper = new DbHelper("CQYRSJLJ", CPAppContext.CurDbTyp
c#中执行sql语句时传递参数的小经验
weixin_30292843的博客
04-25 315
c#中与数据库打交道,免不了要用到各种sql语句,而给sql语句传参数也是不可避免的。以下是我在此方面上的一点总结(高手勿见笑):1> 直接写入法: 例如: intId =1; string Name="lui"; cmd.CommandText="insert into TUserLogin values...
C#参数化SQL查询
weixin_30628801的博客
11-07 362
//写一个存储过程 ALTER PROCEDURE dbo.Infosearch ( @bmid smallint = null, @xm varchar(10)=null, @xb varchar(10)=null, @strage smallint=null, @endage smallint=null, ...
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化的查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表,查询满足...
C#SQL参数传入空值报错解决方案
12-31
注意:SQL参数是不能接受C#的null值的,传入null就会报错。 下面我们看个例子: SqlCommand cmd=new SqlCommand(Insert into Student values(@StuName,@StuAge) ,conn); cmd.parameters.add(@StuName ,stuName); ...
C# 启用事务提交多条带参数的SQL语句实例代码
01-21
具体代码如下所示: ... /// 启用事务提交多条带参数的SQL语句 /// /// 主表SQL /// 主表对应的参数 /// 明细表SQL语句 /// 明细表对应的参数 /// 返回事务是否成功 public static bool Up
C#三层架构数据库连接类SQLHelper,包含标准SQL参数化和存储过程
04-06
某个培训机构写的SQLHelper,现在分享出来,基于三层架构写的SQLHelper文件,包含标准SQL参数化和存储过程
C#参数化查询,避免SQL注入
11-03
一个可以避免SQL注入的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
C#做的"参数化查询"
10-19
C#做的"参数化查询"很简单的小程序,让你一看就会....
C# 查询参数化例子
10-28
C#查询参数化例子,里面详细讲解存储过程的使用。
C#sqlite使用参数化SQL语句
qq_45623310的博客
01-16 2084
DataSet数据集作用:是在内存中建立临时的数据仓库,可以对其进行操作并同步到底层数据库。 DataAdapter
C# 获取参数化sql
MyNameIsXiaoLai的博客
02-25 582
/// <summary> /// 获取完整Sql /// </summary> /// <param name="sql">参数化sql</param> /// <param name="parameters">参数数组</param> ///...
C# 使用参数化SQL语句
热门推荐
我的编程世界
02-13 1万+
之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢? 登录成功后,显示的主窗体,如下图: 这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体例
c#查询参数化例子
龙卷风(2007)
04-10 3115
--Web.Config 配置                       ---页面绑定代码:(查询参数化)String DBConnStr;   DataSet MyDataSet=new DataSet();   TextBox1.Text ="2";   System.Data.SqlClient.SqlDataAdapter DataAdapter=new System.D
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值