SqlParameter 防注入 demo

于 2020-02-27 21:37:36 发布
阅读量139 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37879526/article/details/104545712
版权 
using (SqlConnection con = new SqlConnection(SQLHelper.constr))
            {
                测试,打开连接
                3.打开连接(如果打开数据连接没有问题,表示连接成功)
                con.Open();
                using (SqlCommand cmd = new SqlCommand())
                {
                    //cmd.CommandText = "select count(*) from Student;";
                    //cmd.Connection = con;
                    //string num=cmd.ExecuteScalar().ToString();
                    //Console.WriteLine(num);

                    cmd.CommandText = "select * from Student where name=@name and number=@number";
                    cmd.Connection = con;
                    //cmd.Parameters.Add("@name", SqlDbType.NVarChar, 10).Value = "张三";
                    //cmd.Parameters.AddWithValue("@number",3452);
                    SqlParameter[] sps = new SqlParameter[2] { new SqlParameter {ParameterName="@name",SqlDbType=SqlDbType.NVarChar,Size=10,Value="张三" },new SqlParameter { ParameterName = "@number", SqlDbType = SqlDbType.Int,  Value = 3452 } };
                    cmd.Parameters.AddRange(sps);
                    SqlDataReader reader = cmd.ExecuteReader();
                    while (reader.Read())
                    {
                        Console.WriteLine(reader["number"] + "   " + reader["name"]);
                    }
                }
                //    Console.WriteLine("数据库连接成功");
                4.关闭连接,释放资源
                //con.Close();

                con.Dispose();
                ///
                //string str= "select * from Student";
                //using (SqlDataAdapter dadapter=new SqlDataAdapter(str,con))
                //{
                //    DataTable dt = new DataTable();
                //    dadapter.Fill(dt);
                //    foreach (DataRow item in dt.Rows)
                //    {
                //        Console.WriteLine(item[1].ToString()+"  "+item[2].ToString());
                //    }
                //}
            }

 

zq爱生活爱代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【mac 安全渗透测试】之SQL注入Demo
LYX_WIN
12-22 3751
一、下载安装sqlmap 1、官网地址:sqlmap: automatic SQL injection and database takeover tool git下载: git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev 2、验证sqlmap安装成功: ./sqlmap.py -v 显示如下日志则说明成功: __H__ ___ ___[)]_____ ___ ___ {1
Python全栈(五)Web安全攻之5.sqlmap检索DBMS信息和SQL注入
CUFEECR的博客
03-03 4758
sqlmap检索DBMS信息包括检索DBMS banner、当前数据库、当前主机名和用户信息(当前用户是否是DBA、用户密码、所有用户和权限等)等;sqlmap枚举信息包括列举数据库名、数据库表、数据表列、数据值、schema信息、数据表数量,截取数据信息,设置条件获取信息,暴力破解数据,检索所有信息等;SQL注入原理包括简单介绍、危害、分类、形成原因、过程等;HackBar插件包括在谷歌和火狐的安装;SQL注入包括GET、POST请求和get基于报错的SQL注入
SqlHelpers:实用程序sqlhelpers避免sql注入
03-31
SqlHelpers:实用程序sqlhelpers避免sql注入
简单高效注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
通用权限管理系统
10-24 2745
<br />并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法<br /> <br />   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。<br /> <br />   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1-2年,还没有那么丰富的技术经验、安全意
SqlParameterSQL注入
dengtangda9444的博客
10-25 114
  SQL注入的解决方案有好几种,待我细细研究过之后逐一讲解。 方法一:SqlParameter方法 这里有一篇博客是详细介绍SqlParameter的,可以看看 点我 string sqlStr="select * from Table where Id=@AutoID"; SqlParameter[] parameters = { new Sq...
SqlParameter[]具体用法
01-12 467
做登录功能的时候,需要注入,所以用了SqlParameter。 修改了,这样就不用我的那个给cmd附加多个SqlParameter的方法了 cmd.Parameters.AddRange(pg); 登录按钮代码如下 protected void Button1_Click1(object sender, EventArgs e) { ...
SQL学习笔记[1] - 注入攻击:一个参数传值+模糊查询的参考写法
天堂向左
02-25 1213
OracleConnection conn = new OracleConnection(ConfigurationManager.ConnectionStrings["ConnStr_Ora"].ConnectionString);             conn.Open();             OracleCommand cmd = new OracleCommand("sele
c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7781
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
MyBatis Generator生成的$ sql是否存在注入风险
Reborn_Chang的博客
09-23 3546
代理商sql注入问题排查 经全面排查,代理商中sql层使用’$’获取对象的只有一种类型,代码格式如下: <sql id="Example_Where_Clause"> <!-- WARNING - @mbggenerated This element is automatically generated by MyBatis Generator, do not...
sql demo (c#)
09-28
这涉及到在SQL命令中使用占位符(如@param),然后在SqlCommand对象中添加SqlParameter对象,指定参数值。 6. **数据适配器和数据集(DataAdapter & DataSet)**: 对于需要在内存中存储整个结果集的情况,可以使用...
SQL注入
06-24 101
View Code using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text.RegularExpressions; /// <summary> ///SQLInjectionHelper 的摘要说明 /...
【黑马训练营】三层架构下的SqlHelper和调用——包含using释放机制,sql注入攻击,长度可变参数params
qixiang8902的专栏
01-01 681
---------------------- ASP.Net+Android+IOS开发、.Net培训、期待与您交流! ---------------------- 所有的数据库连接过程,都需要经历一个过程:即连接数据库,打开连接,进行业务操作,关闭连接,最后释放资源。每一次数据库操作都是这么一个过程,如果面向过程,则会写出大量的重复代码,因此我们可以把这个过程以面向对象的编程思维进
SqlParameterSQL注入
帆布鞋也能走猫步
10-31 3936
在第一次做机房收费的时候就说到了SQL注入问题,当时,只知道有这么一个问题,也简单地查了一下,但对于当时的我来说,简直是高大上呀!一查SQL注入,好多方法,好麻烦!果断地挂起来!!! 其实,最开始学到SqlParameter的时候是在机房重构里面,只不过当时不知道这有什么用,只知道它是简单的传送一些参数罢了! 在牛腩中,才开始真真正正地将SqlparameterSQL注入连在一起!
ADO.Net知识总结
baiqing9561的博客
11-02 172
(一)基础知识 ADO.NET: .NET中用来向数据库提交执行SQL语句的一堆类 本机访问直接"Windows验证",但是一般项目中都是单独的数据库服务器,程序在另外一台电脑上连接SQLServer在项目中,一般不会启用sa账户,这个是最高权限账户,应该设置一个受限制的账户 (二)理解SqlDataReader SqlDataReader是连接相...
SqlCommand.Parameters.Add()用法
icesker
05-27 6867
private bool AddInfo(string strName, string strImage) {     sqlcon = new SqlConnection(strCon);     FileStream FStream = new FileStream(strImage, FileMode.Open, FileAccess.Read);     BinaryReader
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值