如何有效的防止SQL连接字符串注入

最新推荐文章于 2020-04-23 09:30:02 发布
最新推荐文章于 2020-04-23 09:30:02 发布
阅读量1.2k 收藏
点赞数
分类专栏: .Net技术探讨 文章标签: sql textbox 数据库 sql server c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwy00/article/details/4776056
版权
本文介绍了如何使用SqlConnectionStringBuilder类来防止SQL连接字符串注入攻击。通过示例代码展示了在C#中如何设置DataSource、InitialCatalog、UserID和Password,从而确保用户输入不会导致恶意SQL注入。利用此类可以有效抵挡前端输入的恶意SQL字符串,保证数据库连接的安全。
摘要由CSDN通过智能技术生成

 概念:在编写安全代码时,最重要的规则之一就是“绝对不要盲目的相信用户的输入”。

利用ADO.NET 2.0的SqlConnectionStringBuilder类生成数据库连接字符串,它可以有效的防止“SQL连接字符串恶意注入”,因为这个类是专门为SQL SERVER设计的所以;它兼容旧式关键字。关于如何使用SqlConnectionStringBuilder类,请参考我以前写的一篇“智能数据库连接生成器”文章里。

 

防止SQL数据库连接字符串示例

 

C#后台示例代码:

 

刚才看到前台用户在用户名输入的用户名字符串,就是恶意SQL注入,而SqlConnectionStringBuilder会把

“用户名;Data Source=Northwind”的字符串作为“UesrID”来登录数据库。这就防止恶意的注入了。

 

最后希望能和志同道合的开发同志,一起学习,一起分享。谢谢

最低0.47元/天 解锁文章
hwy00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。   下面说下网站防注入的几点要素。   一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。   二:如果用SQL语句,那就使用参数化,添加Param   三:尽可能的使用存储过程,安全性能高而且处理速度也快   四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法   C#SQL注入方法一   在Web.config文件中
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
02-16
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
c#防止sql注入,使用参数化,而不是字符串连接
图纸的博客
08-22 1328
SqlConnection conn = new SqlConnection("连接数据库字符串"); SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn); SqlParameter parm1 = new SqlParameter("@...
拼接字符串时,防止sql注入,工具类,转载。
morality_hj的博客
04-23 1052
import javax.servlet.http.HttpServletRequest; /** 防SQL注入工具类 把SQL关键字替换为空字符串 @author zhao @since 2015.7.23 */ public class AntiSqlInjection { public final static String regex = “’|%|–|and|or|not...
Sql serversql注入
weixin_34021089的博客
04-15 418
SQL Injection 关于sql注入的危害在这里就不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下   防范sql注入的方法无非有以下几种: 1.使用类型安全的SQL参数2.使用参数化输入存储过程3.使用参数集合与动态SQL4.输入滤波5.过滤LIKE条款的特殊字符 ...如果有遗漏的也欢迎园子的大大们指教。 Sample: var...
浅析php过滤html字符串,防止SQL注入的方法
12-18
此函数通过对字符串进行多次替换,移除或替换掉如`<script>`、`<style>`等可能导致JavaScript或CSS注入的标签。同时,它还替换了一些SQL关键词,以防止直接的SQL注入尝试。 除此之外,还有一些常见的防止SQL注入的...
Python sql注入 过滤字符串的非法字符实例
09-17
# 在开发过程中,要对前端传过来的数据进行验证,防止SQL注入攻击 def sql_filter(sql, max_length=20): # 定义可能引起SQL注入的非法字符列表 dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", ",...
mybatis防止SQL注入的方法实例详解
08-27
例如,使用字符串拼接构建 SQL 语句时,直接将用户输入的数据拼接到 SQL 语句中。这使得攻击者可以通过构造特殊的输入来 Inject恶意的 SQL 语句,从而获得未经授权的访问权限。 预编译语句 预编译语句是防止 SQL ...
使用Python防止SQL注入攻击的实现示例
09-16
为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接进SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
在编写Java代码时,我们如何改进连接数据库sql拼串语句来预防SQL注入
林大侠
08-04 443
参照-科普中国▪科学百科-sql注入定义 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 ☛应用场景:现...
防止SQL注入连接方式
ssxszt的博客
09-17 126
$link = new mysqli($host, $user, $password, $dbName); if ($link->connect_error) { die("连接失败:" . $link->connect_error); } $sql = "SELECT uniacid FROM ims_ewei_shop_goods_optimize_member WHER...
Sql注入连接字符串常用函数
weixin_34326179的博客
07-28 155
在select数据时,我们往往需要将数据进行连接后进行回显。很多的时候想将多个数据或者多行数据进行输出的时候,需要使用字符串连接函数。在sqli中,常见的字符串连接函数有concat(),group_concat(),concat_ws()。 本篇详细讲解以上三个函数。同时此处用mysql进行说明,其他类型数据库请自行进行检测。 三大法宝 concat(),group_concat(),con...
sql 拼接 防止注入
包子大叔的笔记
10-18 1773
[code="java"] 1 尽量用统一替换,好处很多 //创建insert语句 private List GetInsertSqlFromListPA_SD(List list) { List sqlList = new List(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product...
浅谈SQL注入(拼接字符串注入
李志华 博客 专栏
07-16 8465
SQL注入解释:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入原因      写SQL语句的时候会用拼接字符串的方法,所以会发生SQL注入这种问题。SQL注入后果        如果是让别人发现了你的这个注入的漏洞的话,你的整个数据库有可能直接获得管理员的权限,也就是说这个数据库又可以能掌握在别人的手里,
防止连接字符串注入式攻击
weixin_30670965的博客
01-30 266
使用sqlConnectionStringBuilder来处理Initial Catalog设置插入的额外值: 1 System.Data.SqlClient.SqlConnectionStringBuilder builder   = new System.Data.SqlClient.SqlConnectionStringBuilder(); 2 builder["Data ...
数据库连接字符串放到配置文件中
Alex Hou的专栏
02-22 4226
当项目交到客户方后,数据库连接相关信息有可能需要更改,如数据库服务器的ip地址,用户名,密码等,为了避免到时候需多次更改数据库连接字符串信息,需要将连接字符串放到配置文件中,操作步骤如下: 一、在项目根目录中添加一个“应用程序配置文件”,名称App.config 二、在配置文件中添加节点,如下:         三、在项目根目录“引用”中添加System.configur
ASP.NET防止SQL注入攻击详解
在处理用户输入前,确认其数据类型符合预期,如字符串、整数或日期等,避免数据类型的误用导致安全漏洞。 5. 详细定义数据格式: 明确规定每个输入字段的格式和长度限制,防止缓冲区溢出攻击,并减少可能的注入点...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值