关于怎么防止SQL注入

最新推荐文章于 2023-10-23 10:32:05 发布
最新推荐文章于 2023-10-23 10:32:05 发布
阅读量573 收藏 1
点赞数
文章标签: sql parameters image linq 服务器 delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuying8448/article/details/7337061
版权

 有一天偶开了个帖子,关于怎么防sql注入 ,最后很感谢各位朋友的鼎力相助,我总结如下!

1、大家都很推荐的参数化!具体我以更新一条数据为例,包括用存储过程啥的都是这个意思!!

    

                /// <summary>
		/// 更新一条数据
		/// </summary>
		public bool Update(Ost.Model.P_Product model)
		{
			StringBuilder strSql=new StringBuilder();
			strSql.Append("update P_Product set ");
			strSql.Append("CategoryId=@CategoryId,");
			strSql.Append("BrandId=@BrandId,");
			strSql.Append("Name=@Name,");
			strSql.Append("Descn=@Descn,");
			strSql.Append("Image=@Image,");
			strSql.Append("ImageSmall=@ImageSmall,");
			strSql.Append("Price=@Price,");
			strSql.Append("VipPrice=@VipPrice,");
			strSql.Append("Cheapness=@Cheapness");
			strSql.Append(" where ID=@ID");
			SqlParameter[] parameters = {
					new SqlParameter("@CategoryId", SqlDbType.VarChar,20),
					new SqlParameter("@BrandId", SqlDbType.VarChar,20),
					new SqlParameter("@Name", SqlDbType.VarChar,80),
					new SqlParameter("@Descn", SqlDbType.Text),
					new SqlParameter("@Image", SqlDbType.VarChar,80),
					new SqlParameter("@ImageSmall", SqlDbType.VarChar,80),
					new SqlParameter("@Price", SqlDbType.Decimal,9),
					new SqlParameter("@VipPrice", SqlDbType.Decimal,9),
					new SqlParameter("@Cheapness", SqlDbType.Int,4),
					new SqlParameter("@ID", SqlDbType.Int,4),
					new SqlParameter("@ProductId", SqlDbType.VarChar,20)};
			parameters[0].Value = model.CategoryId;
			parameters[1].Value = model.BrandId;
			parameters[2].Value = model.Name;
			parameters[3].Value = model.Descn;
			parameters[4].Value = model.Image;
			parameters[5].Value = model.ImageSmall;
			parameters[6].Value = model.Price;
			parameters[7].Value = model.VipPrice;
			parameters[8].Value = model.Cheapness;
			parameters[9].Value = model.ID;
			parameters[10].Value = model.ProductId;

			int rows=DbHelperSQL.ExecuteSql(strSql.ToString(),parameters);
			if (rows > 0)
			{
				return true;
			}
			else
			{
				return false;
			}
		}

2、过滤字符!

     我觉的这个也很重要,一些关键字直接给他过滤掉,比如drop 、datebase、delete,and  等一些关键字,写个方法直接过滤掉~!

    把单引号替换成两个单引号!数值型要强制转换!!!

3、利用Entity Framwork ,LINQ  2者配合也能有效防注!

4、关闭服务器返回提示错误。有些人是会根据你的提示错误判断你的表名,数据库名的,服务器返回提示关掉就可以避免这些问题了!

5、也有人说买防火墙!!! 这就不是coder的责任了~~

       


该用户懒的设置
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
防止sql注入
thecityofsky的专栏
06-15 721
今天在论坛上看到一篇防止sql注入的讨论;我对这方面也不是很了解,所以就整理下别人发的代码。一般用的sql防止注入的是那种过滤关键字和替换字符public static string CleanString(string inputString) { StringBuilder retVal = new StringBuilder();
Sql参数化,防止Sql注入
m0_57701510的博客
12-20 287
cmd.Parameters.Add():添加一个参数。增加多个参数时,需要使用一个Foreach循环;表示 SqlCommand 的参数,也可以是它到 DataSet 列的映射。cmd.Parameters.AddRange():添加一个参数的数组;程序集: System.Data(在 System.Data.dll 中)命名空间: System.Data.SqlClient。Sql参数化添加多条数据,废话不多说,上码。SqlParameter 类。Sql Server数据库。
c#中使用stringbuilder的Append方法写sql语句
最新发布
anlog的专栏
10-23 502
c#中使用stringbuilder的Append方法写sql语句_c#strsql.append_安静点DGC的博客-CSDN博客。StringBuilder 拼接去除最后一个多余字符_stringbuffer去掉最后一个逗号_佐氵谙的博客-CSDN博客。2023年11月27日。
SQL小知识和sql语句中where 1=1的作用
qq_42889162的博客
09-20 695
朕在数据访问层(DAL)的代码中经常能见到的查询语句,在后面加约束条件的时候都有带上where 1=1。那么它的作用 是什么呢?查阅资料后,朕决定片面总结一下。还有一些常见的数据库小知识,朕也总结一下如下,在表名后加t后,可用t指代表TABLE。LIKE 和 % 用于模糊查询3.倒序排列,在条件后加上 order by xx desc。
关于防止sql注入的几个知识点
12-14
但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。  1.3:另外pdo预处理无效的地方:  1.3.1:limit语句  1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
防止SQL注入式攻击
08-11
以下是一些关于防止SQL注入式攻击的重要知识点: 1. **理解SQL注入**:SQL注入是当用户输入未经验证或过滤的直接插入到SQL查询中时发生的现象。例如,如果一个网站的登录表单不检查用户输入,恶意用户可以输入" OR ...
c# SqlBuilder
04-16
自己写了个sqlbuilder ,符合平常写sql的习惯,并且可以通过实体类直接生成 SELECT DELETE INSERT UPDATE,比较适合数据库应用项目又不喜欢用其他数据库映射框架的情形.
StringBuilder使用小结
随心更博
12-27 5073
StringBuilder:一个可变的字符序列。此类提供一个与 StringBuffer 兼容的 API,但不保证同步。该类被设计用作 StringBuffer 的一个简易替换,用在字符串缓冲区被单个线程使用的时候。     StringBuilder比StringBuffer在实现中更快,在StringBuilder上主要操作的是append 和 insert方法。将给定的数据转换成
某君的部分SqlHelper
speeder2008的专栏
01-19 745
///<summary><br />/// 向数据集表中添加一行<br />///</summary><br />publicvoid fnAddRow(System.Data.DataTable table, Sn.Model.KuCun.clstemp model, bool AcceptChanged)<br /> {<br /> System.Data.DataRow dr = table.NewRow();<br />if (model !=null)<
c# 向mysql插入数据_C#存储过程向数据库插入数据
weixin_42491751的博客
01-26 234
标签:StringBuilder strSql=new StringBuilder(); strSql.Append("insert into T_SysLog("); strSql.Append("UserID,UserName,LogContent,CreateTime"); strSql.Append(") values ("); strSql.Append("@UserID,@UserNa...
oracle 非法的变量名或编号,ORA-01036:非法的变量名/编号问题解决方法
weixin_35149268的博客
04-06 3169
在项目中,用到了SQL中包含参数(Parameter)的用法,如果参数格式书写错误,就会报: ORA-01036:非法的变量名/编号。并且不同的数据库的用法还不相同。现总结如下:// OracleStringBuilder strSql = new StringBuilder();// 组合SQLstrSql.Append(" INSERT INTO TABLE (");strSql.Append...
StringBuilder--拼接Sql语句防Sql注入
weixin_30485799的博客
01-24 1747
1、首先需要填写一个StringBuilder的扩展类 namespace Code.Common { /// <summary> /// 扩展StringBuilder方法 /// 防止Sql注入 /// </summary> public static class StringBuilderExtend ...
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值