C# 使用参数化SQL语句

最新推荐文章于 2024-08-15 09:49:33 发布
最新推荐文章于 2024-08-15 09:49:33 发布
阅读量1.9w 收藏 30
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxx1529/article/details/55054445
版权

之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢?


登录成功后,显示的主窗体,如下图:


这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体例子来说,我们在代码中用的SQL语句是:

string sqlStr = "select * from [Users] where UserName='" + txtUserName.Text.Trim()  
                + "'and Password='" + txtUserPassword.Text.Trim() + "'";
在用户名、密码框中输入1‘ or ‘1’=1’后产生的SQL语句为: 

select * from [Users] where UserName='1' or '1'='1' and Password='1' or '1'='1

而‘1’=‘1’永远是正确的。这样,用户在不知道合法的用户名和密码的情况下,通过构造特殊的SQL语句,就顺利地进入了系统,导致我们的用户验证模块形同虚设!为了避免这种情况的发生,提高程序的安全性,需要使用参数化SQL语句。

在ADO.NET对象模型中执行一个参数化查询,需要向SqlCommand对象的Parameters集合添加SqlParameter对象。生成SqlParameter对象最简单的方式是调用SqlCommand对象的Parameters集合的AddWithValue方法。

这里又学习了一个新的对象:SqlParameter,表示SqlCommand的参数。

使用参数化SQL语句的步骤是:

  1. 定义包含参数的SQL语句,用@符号声明参数。
  2. 为SQL语句中出现的每一个参数定义参数对象,并将参数对象加入到SqlCommand对象中。
  3. 给参数赋值,并执行SQL语句。

所以,修改上面的代码为:

string sqlStr="select * from [Users] where UserName=@UserName and Password=@Password"

然后创建命令对象的代码时,修改为:


现在,再次运行程序,在用户名和密码框中都输入‘1 or ’1‘=1’后,会提示“用户名或密码错误”,这样用户就没有办法非法登录系统了。

 

 

 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  编程有乐
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
C#sqlite使用参数化SQL语句

				
			

			

				

					qq_45623310的博客
				

				

					01-16
					
					2084
					
				

			

		

		

			
				
DataSet数据集作用:是在内存中建立临时的数据仓库,可以对其进行操作并同步到底层数据库。
DataAdapter



			
		

	



                

              
                



	

		

			

				
					
C#--带参SQL语句数通用数据访问类

				
			

			

				

					Economic_shark的博客
				

				

					09-15
					
					1031
					
				

			

		

		

			
				
Update()GetSingleResult()GetReader()错误信息写入日志方法using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data;
using System.Data.SqlClient;
using System.Configur

			
		

	



                


  
              

                


	

		

			

				
					
C#使用C#连接SQLServer数据库,完成简单的查询功能

					
最新发布

				
			

			

				

					weixin_52614715的博客
				

				

					08-15
					
					675
					
				

			

		

		

			
				
创建这几个包,将项目分成三层架构,直接在Default.aspx编写UI层即可。这里创建了两种表,分别是 stu_user 和 user_department。最后再给数据库添加几条数据,数据库这部分就完成了。本次使用的是web项目,选择以下内容即可。可以通过姓名和部门进行用户信息的查询。

			
		

	





	

		

			

				
					
C#SQL语句参数写法

				
			

			

				

					shenhaha001的专栏
				

				

					04-02
					
					3707
					
				

			

		

		

			
				
C#SQL语句参数写法leConnection oc=new OracleConnection("data source=osserver;User Id=****;password=**"); OracleCommand cmd=new OracleCommand("insert into cym1.uploadfile (filename,filecontent) values (:

			
		

	



		

			
		



	

		

			

				
					
c#中执行sql语句时传递参数的小经验

				
			

			

				

					weixin_30292843的博客
				

				

					04-25
					
					315
					
				

			

		

		

			
				
c#中与数据库打交道,免不了要用到各种sql语句,而给sql语句参数也是不可避免的。以下是我在此方面上的一点总结(高手勿见笑):1> 直接写入法: 例如: intId =1; string Name="lui"; cmd.CommandText="insert into TUserLogin values...

			
		

	





	

		

			

				
					
c#写入mysql_c#参数sql语句写入mysql

				
			

			

				

					weixin_42514521的博客
				

				

					01-31
					
					329
					
				

			

		

		

			
				
下面是别人解决问题的总结:问题解决了。总结一下:1.mysql数据库驱动有两种:mysql-connector-odbc和mysql-connector-net,前者不支持参数,后者支持,这是我测试的结果;2.参数变量使用SqlServer一样,只需把@变为?,如,mysql中写为:insert into test values (?id,?title,?type,now())";3.使用mys...

			
		

	





	

		

			

				
					
C#SQL语句参数写法

					
热门推荐

				
			

			

				

					我只是坚持我的兴趣。
				

				

					08-11
					
					2万+
					
				

			

		

		

			
				
MySql语句参数写法总结:
1.mysql数据库驱动有两种:mysql-connector-odbc和mysql-connector-net,
  前者不支持参数,后者支持,这是我测试的结果;
2.参数变量使用SqlServer一样,只需把@变为?,
  如,mysql中写为:insert into test values (?id,?title,?type,now())";
3.使

			
		

	





	

		

			

				
					
SqlServer:使用IN()子句C#进行参数化查询

				
			

			

				

					04-07
				

			

		

		

			
				
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化的查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表,查询满足...

			
		

	





	

		

			

				
					
C#使用带like的sql语句时防sql注入的方法

				
			

			

				

					09-04
				

			

		

		

			
				
本文将探讨如何在C#使用带`LIKE`的SQL语句时防止SQL注入。  首先,让我们了解什么是SQL注入。当程序直接将用户输入的字符串拼接到SQL查询中时,如果未进行适当的数据验证和转义,攻击者就可能插入有害的SQL代码,...

			
		

	





	

		

			

				
					
C# 启用事务提交多条带参数SQL语句实例代码

				
			

			

				

					01-21
				

			

		

		

			
				
具体代码如下所示: ... /// 启用事务提交多条带参数SQL语句  ///   /// 主表SQL  /// 主表对应的参数  /// 明细表SQL语句  /// 明细表对应的参数  /// 返回事务是否成功  public static bool Up

			
		

	





	

		

			

				
					
SQL语句-使用C#解析SQL语句.zip

				
			

			

				

					02-21
				

			

		

		

			
				
4. **参数化查询**: 在处理用户输入或动态SQL时,为防止SQL注入攻击,推荐使用参数化查询。例如:  ```csharp  SqlCommand command = new SqlCommand("SELECT * FROM Customers WHERE CustomerID = @id", connection...

			
		

	





	

		

			

				
					
C#SqlParameter参数写法

				
			

			

				

					04-17
				

			

		

		

			
				
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法

			
		

	





	

		

			

				
					
C#批量生成Sql语句

				
			

			

				

					09-13
				

			

		

		

			
				
日常中处理数据订正、问题排查等任务,免不了要写SQL语句。简单写几条还可以用手工来写,但如果要写几百条或者几千条的话,并涉及到分库分表时,手写就是悲剧了。这时一般会采用程序生成SQL,用批量生成sql语句就能完美的解决问题。

			
		

	





	

		

			

				
					
C# 加工好拿来(SQl语句查询)

				
			

			

				

					12-21
				

			

		

		

			
				
C# 加工好拿来(SQl语句查询)中多行excle数据自动加引号和逗号 ,非常方便。select *from table where  row in(‘A’,‘B')

			
		

	





	

		

			

				
					
使用参数SQL语句避免注入式攻击

				
			

			

				

					gzc0319的博客
				

				

					06-30
					
					279
					
				

			

		

		

			
				
SQL 注入式攻击是指有些人利用软件设计上的漏洞对软件进行恶意攻击,而没有对用户输入的数据进行验证是 SQL 注入攻击得逞的主要方式。例如,如果用户的查询语句是

select * from tb_User where name='"&user&"' and password='"&pwd&"'",

那么,如果用户名为

“1' or '1'='1”,

则查询语句将会变成:

select * from tb_User where name='1 ' or '1'='1'

			
		

	





	

		

			

				
					
C# 参数化SQL

				
			

			

				

					Hoxily的窝窝
				

				

					03-13
					
					2370
					
				

			

		

		

			
				
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,

			
		

	





	

		

			

				
					
C#sql语句参数化防止sql注入

				
			

			

				

					技术分享博客
				

				

					02-23
					
					968
					
				

			

		

		

			
				
C#sql语句参数化防止sql注入
  public override bool AddConditions(string FormId, string FormName, string Conditions, string UserId, out string errorMsg)
        {
            errorMsg = "";
            DbHelper _helper = new DbHelper("CQYRSJLJ", CPAppContext.CurDbTyp

			
		

	





	

		

			

				
					
c#sql添加语句参数化语句

				
			

			

				

					06-09
				

			

		

		

			
				
C#中,可以使用`SqlParameter`类来实现SQL添加语句的参数化。以下是一个使用参数化SQL添加语句的示例:

```
using System.Data.SqlClient;

// 连接到数据库
SqlConnection conn = new SqlConnection("Data Source=example.com;Initial Catalog=myDatabase;User ID=myUsername;Password=myPassword");

// 创建SQL添加语句
string username = "admin";
string password = "123456";
string sql = "INSERT INTO users (username, password) VALUES (@Username, @Password)";

// 创建SqlCommand对象
SqlCommand cmd = new SqlCommand(sql, conn);

// 添加参数
cmd.Parameters.Add(new SqlParameter("@Username", username));
cmd.Parameters.Add(new SqlParameter("@Password", password));

// 打开连接并执行添加语句
conn.Open();
cmd.ExecuteNonQuery();

// 关闭连接
conn.Close();
```

在上述代码中,我们使用了`SqlConnection`和`SqlCommand`类来连接到数据库并执行SQL添加语句。在创建SQL添加语句时,我们使用了名为`@Username`和`@Password`的参数,这些参数将在后续的`SqlParameter`对象中进行绑定。在执行添加语句之前,我们使用`Parameters.Add`方法将参数绑定到`SqlCommand`对象中,这样可以避免SQL注入攻击,并且可以更好地保护数据库中的数据安全。在执行添加语句之后,我们可以关闭连接并释放资源。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 21

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值