浅谈SQL注入(拼接字符串注入)

 SQL注入解释:

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

SQL注入原因

      写SQL语句的时候会用拼接字符串的方法,所以会发生SQL注入这种问题。

SQL注入后果

        如果是让别人发现了你的这个注入的漏洞的话,你的整个数据库有可能直接获得管理员的权限,也就是说这个数据库又可以能掌握在别人的手里,里面的数据想查询就查询,想删除就删除,想对你数据库怎样就怎样,后果很严重。

SQL注入解决方法:

        对于SQL注入的方法最简单的也就是把拼接字符串变成一个变量,在传递的时候传递一个变量可以避免拼接字符串SQL注入接下来我用代码来简单的给大家展现一下怎样避免这个问题.(又不对的欢迎大家指出!) 这两个类需要引入才可以


//SQLhelper 类中代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data;
using System.Data.SqlClient;
using System.Configuration;


Public class Sqlhelper()
{
Private SQLconnection conn=null;
Private SQLcommend cmd=null;
Public SQLhelper ()
{
   Sting connStr=”Server=服务器名;database=数据库名;uid=sa;pwd=数据库密码”;
   Conn=new Sqlconnection(connStr)
}
Private Sqlconnection conn()
{
   Return true;
}
Public int ExecuteNonQuery(string sql,SqlParameter[] paras)
{
Int res;
Using(cmd.new SqlCommand(sql,GetConn()))
{
   Cmd.Parameters.AddRange(paras);
    Res=cmd.ExecuteNonQuery
}
Return res;
}
}
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data;

插入方法类代码:
Public Class categoryDAO
{
Private Sqlhelper sqlhelper=null;
Public categoryDAO()
{
   sqlhelper=new Sqlhelper();
}
 Public bool insert(string caName)
{
Bool flag=false;
String sql=”insert into 表名(字段名)values(@caName)”;
SqlParameter[]paras=new SqlParameter[]{
New Sqlparameter(”@caName”,caName)
}
Int res=sqlhelper.executeNonQuery(sql,paras);
If(res>0)
{
Flag=true
}
Return flag

}
  }

总结:  

上面是代码,写的也就是用一个@caName的变量来替换一下拼接的Sql语句,还有在用@caName变量的时候必须要有一个可以存储这个变量的类,所以就引入了SqlParameter这个类来存储这个变量,他的用法 大家自己去查一下或是直接在vs的编译器里面看他的类的参数的解释就可以了,很容易理解。别的就不说了,就到这里把! 谢谢大家用了这么长的时间看我的东西!走的时候留下一个评论哦! 嘿嘿!

 

                
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值