Sql参数化,防止Sql注入

最新推荐文章于 2023-01-13 14:00:00 发布
最新推荐文章于 2023-01-13 14:00:00 发布
阅读量334 收藏 1
点赞数
分类专栏: 笔记 文章标签: sql 数据库 c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57701510/article/details/128390249
版权

SqlParameter 类

表示 SqlCommand 的参数,也可以是它到 DataSet 列的映射。无法继承此类。

命名空间:  System.Data.SqlClient

程序集:  System.Data(在 System.Data.dll 中)

Sql Server数据库

Sql参数化添加多条数据,废话不多说,上码

using System;
using System.Collections.Generic;
using System.Data.SqlClient;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace ConsoleApp2
{
    internal class Program
    {
        public static string _StrSql = "server=.;database=StuDB;uid=;pwd=";
        static void Main(string[] args)
        {
            StringBuilder sb = new StringBuilder();//sql的存储容器
            var sqlParameter = new List<SqlParameter>();//为sql参数赋值
            for (int i = 0; i < 5; i++)
            {
                //参数需要唯一,故拼接上一个i
                string sql =string.Format($"insert into StuTB values(@Name{i},@Age{i});");
                sb.Append(sql);
                sqlParameter.Add(new SqlParameter("@Name" +i,"添加的数据"));
                sqlParameter.Add(new SqlParameter("@Age"+i, "123"));
            }
            ExecuteNonQuery(sb.ToString(),sqlParameter);//将拼接的sql一次性执行
        }
        /// <summary>
        /// 执行Sql
        /// </summary>
        /// <param name="sql">sql</param>
        /// <param name="sqlParameter">list<SqlParameter></param>
        public static void ExecuteNonQuery(string sql,List<SqlParameter> sqlParameter)
        {
            using (SqlConnection con=new SqlConnection(_StrSql))
            {
                con.Open();
                SqlCommand cmd = con.CreateCommand();
                cmd.CommandText = sql;
                cmd.Parameters.AddRange(sqlParameter.ToArray());
                cmd.ExecuteNonQuery();
                cmd.Clone();
            }
        }
    }
}

   cmd.Parameters.Add():添加一个参数。增加多个参数时,需要使用一个Foreach循环;
   cmd.Parameters.AddRange():添加一个参数的数组;

参数化查询----防止SQL注入
做一枚优雅的IT女
08-15 1934
20:50 一、SQL注入的定义 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 二、SQL注入的原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数
SQL参数化防止SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
使用参数化查询防止SQL注入漏洞
{寒迅之書} 少时作梦,见所用之笔,头上生出朵朵灿烂之花。大喜,便用此笔于纸上飞快书写,落笔之处,皆为花焉。
10-11 657
<br />http://kb.cnblogs.com/page/75453/SQL注入的原理<br />  以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询:1string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = '" + userName +"' AND Password = '" + password + "'";<br />  其中userName和password两个变量的值是由用户输
参数化SQL注入
12-13 134
现在防止SQL注入最常用的方法基本上就是参数化条件了。 原理是因为用这种方式处理时,数据库服务器会先编译传入的SQL语句,而不把参数代入。编译完成后再把参数替换。所以你的注入是无法被执行的。 比如用PHP实现。 1.mysql_query类型函数实现 $query = sprintf('select * from book where id = "%s"', '33'...
参数化SQL语句, 防止SQL注入
qq_42553082的博客
11-03 2190
from pymysql import connect def main(): #第一步创建连接对象 conn = connect(host='192.168.11.93',port=3306,user='root',password='root',db='test2',charset='utf8') #第二步创建游标对象 cur = conn.cursor() ...
参数化查询,防止SQL注入
cc1179877179的博客
08-04 799
//第一种参数化查询 //SqlParameter spName = new SqlParameter("@name", Name); //cmd.Parameters.Add(spName); //SqlParameter spPwd = new SqlParameter("...
参数化查询为什么能够防止SQL注入
03-01
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
使用Python防止SQL注入攻击的实现示例
09-16
为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接进SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET ...
weixin_33897722的博客
03-09 209
防止SQL注入漏洞攻击的有两种方法: 1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法, 2)参数化查询SQL语句 举例如下: //实例化Connect...
SQL参数化-SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入
防止sql注入参数化查询
weixin_30432007的博客
04-04 170
参数化查询为什么能够防止SQL注入 http://netsecurity.51cto.com/art/201301/377209.htm OleDbDataAdapter Class http://msdn.microsoft.com/en-us/library/system.data.oledb.oledbdataadapter.aspx Sql Server 编译、重编...
SQL参数化查询--最有效可预SQL注入攻击的御方式
Galaxy_0的博客
01-13 841
SQL参数化查询--最有效可预SQL注入攻击的御方式
sql注入参数化查询
m0_55306747的博客
11-26 4818
概念:在sql语句中需要输入值的地方以参数进行给值 特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入 现状:不过即使参数化查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数化查询 需要熟悉各数据库中的变量形式: 假设变量为a1
【转载】51CTO-参数化查询为什么能够防止SQL注入
weixin_30258027的博客
05-31 166
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。 首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 -&gt...
参数化查询语句防止SQL注入
李公子的博客
09-15 2245
1.什么是SQL注入,为什么要防止SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
mysql参数化查询为什么可以实现_为什么参数化SQL查询可以防止SQL注入?
weixin_35837047的博客
01-27 230
SQL 语句文本对于数据库来说,是一种指令,与 Shell 中输入的一条条命令行很类似。我们在 SQL 中混入的各种值就是操作的参数。考虑一个 WHERE user_id = 10 的筛选,WHERE 的条件包含两个部分:按用户筛选,以及用户 id 的值,后者即为筛选操作的参数。当用户 id 直接混在 SQL 中,表示 id 值的文本作为 SQL 正文的一部分,就很容易被动手脚,攻击者只要伪造一个...
参数化命令(防止SQL注入
初学者
03-19 2666
1. 参数化命令相关知识点:(防止SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
SQL参数化查询防止注入的原理解析
"本文主要探讨了参数化查询为何能有效防止SQL注入,通过解析SQL处理指令的步骤,以及分析拼接SQL字符串导致的安全风险,解释了参数化查询在SQL注入攻击上的重要作用。" SQL注入是一种常见的网络安全威胁,攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值