## DBHelper参数化命令(预防注入攻击)

最新推荐文章于 2024-07-13 10:31:41 发布
最新推荐文章于 2024-07-13 10:31:41 发布
阅读量488 收藏
点赞数
文章标签: sql c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jienigui_/article/details/108627142
版权

DBHelper参数化命令(预防注入攻击)

SQL注入攻击:利用接收用户输入的数据,对SQL语句进行字符串的拼接

防止SQL注入:避免用户进行SQL语句的字符串拼接
1、禁止对SQL命令进行加号或占位符的拼接
2、将需要接收用户输入的地方使用SQL变量(@name)

#region  非参数化命令
        public static object DHDL(string sql)
        {
            using (SqlConnection con=new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                con.Open();
                return cmd.ExecuteScalar();
            }
        }

        public static int ZSG(string sql)
        {
            using (SqlConnection con = new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                con.Open();
                return cmd.ExecuteNonQuery();
            }
        }

        public static SqlDataReader DQQ(string sql)
        {
            using (SqlConnection con = new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                con.Open();
                return cmd.ExecuteReader(CommandBehavior.CloseConnection);
            }
        }

        public static DataTable SPQ(string sql)
        {
            SqlConnection con = new SqlConnection(str);
            SqlDataAdapter sda = new SqlDataAdapter(sql, str);
            DataTable dt = new DataTable();
            sda.Fill(dt);
            return dt;
        }
        #endregion


        #region 参数化命令
        public static object DHDL(string sql ,SqlParameter [] ps)
        {
            using (SqlConnection con = new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                cmd.Parameters.AddRange(ps);
                con.Open();
                return cmd.ExecuteScalar();
            }
        }

        public static int ZSG(string sql, SqlParameter[] ps)
        {
            using (SqlConnection con = new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                cmd.Parameters.AddRange(ps);
                con.Open();
                return cmd.ExecuteNonQuery();
            }
        }

        public static SqlDataReader DQQ(string sql, SqlParameter[] ps)
        {
            using (SqlConnection con = new SqlConnection(str))
            {
                SqlCommand cmd = new SqlCommand(sql, con);
                cmd.Parameters.AddRange(ps);
                con.Open();
                return cmd.ExecuteReader(CommandBehavior.CloseConnection);
            }
        }

        public static DataTable SPQ(string sql, SqlParameter[] ps)
        {
            SqlConnection con = new SqlConnection(str);
            SqlDataAdapter sda = new SqlDataAdapter(sql, str);
            sda.SelectCommand.Parameters.AddRange(ps);
            DataTable dt = new DataTable();
            sda.Fill(dt);
            return dt;
        }
        #endregion
GoodnessLi
关注
SQL注入攻击的防范 DBhelper中加入参数
Charles_hui的博客
10-14 295
public class DBhelper { public static string connstr = ConfigurationManager.ConnectionStrings["DB"].ConnectionString; public static DataTable ExcuteTable(string sql,params SqlParameter[] sqlms) { using (SqlDataAdapt...
.NET DbHelper 数据访问类(MSSQL Mysql ORACLE)
08-30
个人曾经写过的数据访问接口,包含:MSSQLMysql、Oracle等数据库的公共处理接口。可以拿过来直接使用,放在手里好多年了。 IDatabase接口声明如下: namespace Simple.Database { /// /// IDatabase 接口 /// public interface IDatabase { DbConnection dbConn { get; set; } /// /// 创建 DbConnection 对象实例。 /// /// DbConnection 对象实例。 DbConnection CreateConnection(); /// /// 创建 DbCommand 对象实例。 /// /// DbCommand 对象实例。 DbCommand CreateCommand(); /// /// 创建 DbCommand 对象实例。 /// /// Sql 语句或存储过程名。 /// CommandType 参数。 /// DbCommand 对象实例。 DbCommand CreateCommand(string text, CommandType type); /// /// 创建 DbCommand 对象实例。 /// /// Sql 语句或存储过程名。 /// CommandType 参数。 /// 参数集合。 /// DbCommand 对象实例。 DbCommand CreateCommand(string text, CommandType type, IDataParameter[] paras); /// /// 创建 DbCommand 对象实例。 /// /// DbConnection 对象。 /// Sql 语句或存储过程名。 /// CommandType 参数。 /// 参数集合。 /// DbCommand 对象实例。 DbCommand CreateCommand(DbConnection conn, string text, CommandType type, IDataParameter[] paras); /// /// 创建 DbDataAdapter 对象实例。 /// /// DbDataAdapter 对象实例。 DbDataAdapter CreateDataAdapter(); /// /// 创建 DbParameter 对象实例。 /// /// DbParameter 对象实例。 DbParameter CreateParameter(); /// /// 创建 DbParameter 对象实例。 /// /// 参数名称。 /// 参数值。 /// DbParameter 对象实例。 DbParameter CreateParameter(string name, Object value); /// /// 创建 DbParameter 对象实例。 /// /// 参数名称。 /// 参数类型。 /// DbParameter 对象实例。 DbParameter CreateParameter(string name, DbType type); /// /// 创建 DbParameter 对象实例。 /// /// 参数名称。 /// 参数类型。 /// 数据的最大大小。 /// DbParameter 对象实例。 DbParameter CreateParameter(string name, DbType type, int size); /// /// 获取指定长度数据的 DataSet 对象。 /// /// 要读取的 Sql 语句。 /// 开始读取位置的索引。 /// 待读取记录集的长度。 /// DataSet 对象。 DataSet GetDataSet(string sql, int start, int length); /// /// 获取指定长度数据的 DataTable 对象。 /// /// 要读取的 Sql 语句。 /// 开始读取位置的索引。 /// 待读取记录集的长度。 /// DataTable 对象。 DataTable GetDataTable(string sql, int start, int length); /// /// 执行Insert、Update、Delete等操作,并返回受影响的记录数。 /// /// 要执行的 Sql 语句。 /// 受影响的记录数。 int GetEffect(string sql); /// /// 执行 Insert、Update、Delete 等操作,并返回受影响的记录数。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 的类型,即该命令Sql 语句,还是存储过程名等。 /// 受影响的记录数。 int GetEffect(string sql, CommandType type); /// /// 执行带参数的 Sql 语句或存储过程,并返回受影响的记录数。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 参数类型,即该命令sql 语句,还是存储过程名等。 /// 参数集合。 /// 受影响的记录数。 int GetEffect(string text, CommandType type, IDataParameter[] paras); /// /// /// /// /// /// /// /// /// int GetEffect(DbConnection conn, string text, CommandType type, IDataParameter[] paras, DbTransaction DbTrans); /// /// /// /// /// List ExecuteTransaction(params string[] sqls); /// /// 执行 Select 语句,并返回 DataSet 对象。 /// /// 要执行的 Sql 语句。 /// DataSet 对象。 DataSet GetDataSet(string sql); /// /// 执行 Select 语句或存储过程,并返回 DataSet 对象。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 参数类型,即该命令sql 语句,还是存储过程名等。 /// DataSet 对象。 DataSet GetDataSet(string text, CommandType type); /// /// 执行带参数的 Sql 语句或存储过程,并返回 DataSet 对象。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 参数类型,即该命令sql 语句,还是存储过程名等。 /// 参数集合。 /// DataSet 对象。 DataSet GetDataSet(string text, CommandType type, IDataParameter[] paras); /// /// 执行 Select 语句,并返回 DataTable 对象。 /// /// 要执行的 Sql 语句。 /// DataTable 对象。 DataTable GetDataTable(string sql); /// /// 执行 Select 语句或存储过程,并返回 DataTable 对象。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 参数类型,即该命令sql 语句,还是存储过程名等。 /// DataTable 对象。 DataTable GetDataTable(string text, CommandType type); /// /// 执行带参数的 Sql 语句或存储过程,并返回 DataTable 对象。 /// /// 要执行的 Sql 语句或存储过程名等。 /// CommandType 参数类型,即该命令sql 语句,还是存储过程名等。 /// 参数集合。 /// DataTable 对象。 DataTable GetDataTable(string text, CommandType type, IDataParameter[] paras); /// /// 获取查询所返回的结果集中第一行第一列的值。 /// /// 要处理的 sql 语句(包含待查询的字段)。 /// 字段值。 object GetField(string sql); /// /// 获取查询所返回的结果集中第一行指定列的值。 /// /// 待查询的数据表名称。 /// 待获取字段的列名。 /// 字段值。 object GetField(string sql, string field); /// /// 获取查询所返回的结果集中第一行指定列集合的值。 /// /// 要处理的 sql 语句。 /// 待获取字段的列表。 /// 字段值集合。 object[] GetField(string sql, params string[] fields); } }
DBHelper(使用参数化+事务查询和执行)
DK18397606232的博客
12-26 1613
using System; using System.Collections.Generic; using System.Data; using System.Data.Common; using System.Data.SqlClient; using System.Linq; using System.Text; using System.Threading.Tasks; namespac...
DBOpenHelper用法
陆维淋的博客
01-19 7961
DBOpenHelper用法import android.content.Context; import android.database.sqlite.SQLiteDatabase; import android.database.sqlite.SQLiteOpenHelper; public class DBOpenHelper extends SQLiteOpenHelper{ pu
sql注入
Eligah825的博客
11-15 296
错误示例: SQLiteDatabasedb = dbHelper.getWriteableDatabase(); String userQuery= "SELECT lastName FROM useraccounts WHERE userID = " +request.getParameter("userID"); SQLiteStatementprepStatement = db.c
Data2.0.rar_dbhelper_参数化_参数配置 C
09-24
4、所有方法都支持参数化与非参数化访问db,调用十分方便。 5、使用了线程本地存储,使之能支持在业务逻辑层显式控制事务。 6、注释较为详细,配置十分简单,方法较为简洁(加上注释总共200多行代码)。 7、开源,容易...
SQL参数化防止SQL注入
05-29
"SQL参数化防止SQL注入)" SQL参数化是ASP.NET开发中的一种常用技术,用于防止SQL注入...SQL参数化是一种非常重要的技术,在ASP.NET开发中,我们应该尽量使用参数化传递来防止SQL注入攻击,保护数据库中的敏感信息。
DBHelper
03-20
4. **参数化查询**:为了防止SQL注入攻击DBHelper会使用参数化查询,将用户输入转化为参数,而不是直接拼接在SQL语句中。 5. **事务处理**:对于需要确保原子性的操作,DBHelper会提供开始、提交和回滚事务的方法...
c#多数据库自适应DBHelper源码
03-18
1、采用键值对、匿名对象进行CRUD、分页查询操作...MysqlDBHelper需安装mysql-connector-net(本项目使用6.9.9版) -AccessDBHelper使用的是Office2010驱动,可更改_provider做版本调整;创建Access文件使用了ADOX库。
SQL注入问题及解决
zrxJuly
10-13 3563
什么是SQL注入? 所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入产生
apdl参数化命令使用指南
09-04
对ansys二次开发语言进行了详细描述。介绍了自己制作宏命令的方法。适合初学者学习ansys的二次开发。
ADO.NET防止SQL注入漏洞攻击,两种参数查询
Fanbin168的专栏
08-26 1362
//sql 参数化查询             using (SqlConnectionconn = new SqlConnection("data source=Fan-VAIO;Initialcatalog=sales;integrated security=true"))             {                 conn.Open();
DbHelperSQL总结
似水流年
03-24 4180
public class DbHelperSQL     {         private SqlConnection connection;         ///         /// 数据库连接对象属性         ///         public SqlConnection Connection         {             get
SQL注入及其防止
最新发布
rnnf_yyds的博客
07-13 374
所谓SQL注入就是有些相关专业人员,可能懂这方面的专业知识,会根据我们后端写的一些sql语句进行相应的字符集输入,而输入的这些字符集就可能会导致我们的系统被攻击,其本质就是通过sql从而骗取数据库执行的那些sql语句。相关示例:(用户登录)上面这条sql是基于字符串拼接的方式去进行书写的,如果我们的username和password输入了sql相关的非法字符集就会有可能导致用户直接查询成功,假设用户在前端输入了如下用户名和密码:password: 随便输入。
Python3进阶之命令参数化实现的几种方式总结
SteveRocket's-Blog
12-10 463
在Python3中,有多种方式可以实现命令参数化。本篇文章我将为大家介绍和总结几种常用的方式,分别包括: 内置 sys.argv 模块 内置 argparse 模块 内置 getopt 模块 第三方依赖库 click 第三方依赖库docopt
参数化命令防止SQL注入
初学者
03-19 2667
1. 参数化命令相关知识点:(防止SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
最全总结:聊聊 Python 命令参数化的几种方式
Python学习与数据挖掘
06-26 768
大家好,在日常编写 Python 脚本的过程中,我们经常需要结合命令行参数传入一些变量参数,使项目使用更加的灵活方便本篇文章我将罗列出构建 Python 命令行参数的 4 种常见方式它们分别是:内置 sys.argv 模块内置 argparse 模块内置 getopt 模块第三方依赖库 click构建命令行参数最简单、常见的方式是利用内置的「 sys.argv 」模块它是将参数以一个有序的列表传入,所以在使用时传参顺序必须固定因此,这种方式适用于参数个数少且场景固定的项目中 需要注意的是,在脚本中通过「 s
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6719
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
dbhelper 2.0:强大且灵活的多数据库访问支持
参数化查询是一种防止SQL注入的技术,通过将数据和命令结构分离,以预定义的方式使用参数,提高安全性和性能。dbhelper类中的方法应同时支持参数化和非参数化访问数据库,以便开发者可以根据不同的场景选择最合适的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值