C# 使用参数化SQL语句

之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢?


登录成功后,显示的主窗体,如下图:


这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体例子来说,我们在代码中用的SQL语句是:

string sqlStr = "select * from [Users] where UserName='" + txtUserName.Text.Trim()  
                + "'and Password='" + txtUserPassword.Text.Trim() + "'";
在用户名、密码框中输入1‘ or ‘1’=1’后产生的SQL语句为:

select * from [Users] where UserName='1' or '1'='1' and Password='1' or '1'='1

而‘1’=‘1’永远是正确的。这样,用户在不知道合法的用户名和密码的情况下,通过构造特殊的SQL语句,就顺利地进入了系统,导致我们的用户验证模块形同虚设!为了避免这种情况的发生,提高程序的安全性,需要使用参数化SQL语句。

在ADO.NET对象模型中执行一个参数化查询,需要向SqlCommand对象的Parameters集合添加SqlParameter对象。生成SqlParameter对象最简单的方式是调用SqlCommand对象的Parameters集合的AddWithValue方法。

这里又学习了一个新的对象:SqlParameter,表示SqlCommand的参数。

使用参数化SQL语句的步骤是:

  1. 定义包含参数的SQL语句,用@符号声明参数。
  2. 为SQL语句中出现的每一个参数定义参数对象,并将参数对象加入到SqlCommand对象中。
  3. 给参数赋值,并执行SQL语句。

所以,修改上面的代码为:

string sqlStr="select * from [Users] where UserName=@UserName and Password=@Password"

然后创建命令对象的代码时,修改为:


现在,再次运行程序,在用户名和密码框中都输入‘1 or ’1‘=1’后,会提示“用户名或密码错误”,这样用户就没有办法非法登录系统了。




                                    
发布了58 篇原创文章 · 获赞 4 · 访问量 3万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 1024 设计师: 上身试试

分享到微信朋友圈

×

扫一扫,手机浏览