解决sql注入问题(丛林战争项目)

最新推荐文章于 2023-07-20 12:58:44 发布
最新推荐文章于 2023-07-20 12:58:44 发布
阅读量254 收藏
点赞数

一、正常的代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using MySql.Data.MySqlClient;

namespace MySqlOperation
{
    class Program
    {
        static void Main(string[] args)
        {
            //Database指定数据库,Data Source指定本机ip,port指定端口号,user id指定用户名,password 指定密码,各属性之间用“;”进行分隔
            String connStr = "Database=test_connection;Data Source=127.0.0.1;port=3306;User Id=root;Password=123456";
            //建立连接,参数为连接的字符串,即ip地址、端口号、账号、密码
            MySqlConnection conn = new MySqlConnection(connStr);
            //打开连接
            conn.Open();
            String userName = "test";
            String passWord = "test";

            MySqlCommand cmd = new MySqlCommand("insert into user set userName='"+userName+"',passWord='"+passWord+"'",conn);
            cmd.ExecuteNonQuery();
            //关闭流
            conn.Close();                                                                   //关闭连接
            Console.ReadKey();                                                              //让程序暂停

        }
    }
}

正常的运行结果:

在表的最后增加了一个userName和passWord都为test的用户





二、异常代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using MySql.Data.MySqlClient;

namespace MySqlOperation
{
    class Program
    {
        static void Main(string[] args)
        {
            //Database指定数据库,Data Source指定本机ip,port指定端口号,user id指定用户名,password 指定密码,各属性之间用“;”进行分隔
            String connStr = "Database=test_connection;Data Source=127.0.0.1;port=3306;User Id=root;Password=123456";
            //建立连接,参数为连接的字符串,即ip地址、端口号、账号、密码
            MySqlConnection conn = new MySqlConnection(connStr);
            //打开连接
            conn.Open();


            String userName = "test";
            String passWord = "test'delete from user";

            MySqlCommand cmd = new MySqlCommand("insert into user set userName='"+userName+"',passWord='"+passWord+"'",conn);
            cmd.ExecuteNonQuery();
            //关闭流
            conn.Close();                                                                   //关闭连接
            Console.ReadKey();                                                              //让程序暂停

        }
    }
}




运行结果:

passWord中增加了sql命令,user表中的内容全部被删除掉了





三、解决办法:

将代码由

  String userName = "test";
  String passWord = "test';delete from user;";

  MySqlCommand cmd = new MySqlCommand("insert into user set userName='"+userName+"',passWord='"+passWord+"'",conn);
改为: 

 String userName = "test";
 String passWord = "test';delete from user;";


 MySqlCommand cmd = new MySqlCommand("insert into user set userName=@un,passWord=@pwd", conn);
 cmd.Parameters.AddWithValue("un",userName);
 cmd.Parameters.AddWithValue("pwd", passWord);

其中un和pwd都是自己定义的,AddWithValue会将这两个参数仅仅作为参数传递



完整的代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using MySql.Data.MySqlClient;

namespace MySqlOperation
{
    class Program
    {
        static void Main(string[] args)
        {
            //Database指定数据库,Data Source指定本机ip,port指定端口号,user id指定用户名,password 指定密码,各属性之间用“;”进行分隔
            String connStr = "Database=test_connection;Data Source=127.0.0.1;port=3306;User Id=root;Password=123456";
            //建立连接,参数为连接的字符串,即ip地址、端口号、账号、密码
            MySqlConnection conn = new MySqlConnection(connStr);
            //打开连接
            conn.Open();

            String userName = "test";
            String passWord = "test';delete from user;";

            //MySqlCommand cmd = new MySqlCommand("insert into user set userName='"+userName+"',passWord='"+passWord+"'",conn);

            MySqlCommand cmd = new MySqlCommand("insert into user set userName=@un,passWord=@pwd", conn);
            cmd.Parameters.AddWithValue("un",userName);
            cmd.Parameters.AddWithValue("pwd", passWord);

            cmd.ExecuteNonQuery();
            //关闭流
            conn.Close();                                                                   //关闭连接
            Console.ReadKey();                                                              //让程序暂停

        }
    }
}

运行后的结果:




nicolelili1
关注
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
解决sql注入问题
LCHUIHUI的博客
05-21 1144
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using MySql.Data.MySqlClient; namespace MySQL数据库操作 { class Program { ...
SQL学习笔记之插入数据
weixin_39729469的博客
03-22 381
数据插入 可以只用insert语句向数据表中插入新数据(添加行) 插入完整的行 INSERT INTO Customers VALUES('1000000006','Toy Land','123 Any Street', 'New York','NY','11111','USA',NULL,NULL); insert into values语句要确认需要插入的表名,以及需要插入的数据值 数据值...
insert into user插入表的方式添加mysql数据库用户
m0_47505062的博客
10-19 1万+
@insert into user (host,user,password,select_priv,insert_priv,updat_priv) values (‘localhost’,‘guest’,password(‘guest123’),‘y’,‘y’,‘y’);TOC 上面命令报错解决办法亲测有效,mysql学习笔记,今天跟随菜鸟教程,学习mysql,遇到很多问题,通过查看网友相关文章结合自己的理解,找到解决办法,分享给大家,有一点感触,不要随波逐流人云亦云,实践是最好的教科书, 在mysql&g
mysql修改游戏数据库_网络游戏_数据库更新
weixin_34966374的博客
02-07 472
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using MySql.Data.MySqlClient;namespace MySql数据库操作{class Program{static void Main(string[]...
c#与mysql教程_C#连接MySQL操作详细教程
weixin_35688459的博客
01-19 5984
C#如何连接MySQL进行操作,供大家参考,具体内容如下1、引入MySql.Data.dll例如小编是vs2017,创建工程之后,添加应用,选择工程,点击下面的引用,右击打开,选择添加引用2、如何找到自己的MySql.Data.dll,答案就是自己安装MySQL的安装路径下,找到后选择添加3、就是直接贴代码了,这里是查询账号密码,以及插入账号密码(注意:更改个人的数据名字以及表密码等)using ...
unity网络实战开发(丛林战争)-前期知识准备(011-c#连接数据库并实现增删改查以及sql注入问题
GEMINI_xujian的博客
07-01 814
使用工具:VS2015,Mysql使用语言:c#作者:Gemini_xujian继上一篇文章内容,这节课讲解一下数据库的前期连接准备以及通过c# 实现数据库的增删改擦操作。首先你需要自行安装Mysql以及它的workbench组件。然后打开新建一个数据库,我这里建了一个名为mytest的数据库,并建了一张user表。在数据库软件准备就绪后,使用VS新建一个项目,建好后,右键引用有一个添加引用,然后...
sql注入原理及解决方案
热门推荐
m0_59673895的博客
11-16 4万+
②不安全的数据库配置;⑥多个提交处理不当。这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。其实所有的类型都是根据数据库本身表的类型所产生的,在我们创建表的时候会发现其后总有个数据类型的限制,而不同的数据库又有不同的数据类型,但是无论怎么分常用的查询数据类型总是以数字与字符来区分的,所以就会产生注入点为何种类型。
浅谈Java下SQL注入问题
weixin_42603304的博客
03-07 2470
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。 编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
PHP+Mysql 带SQL注入源码 下载
01-01
这个"PHP+Mysql 带SQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。...在部署任何包含用户输入的项目时,应始终优先考虑安全性,避免遭受SQL注入等攻击。
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2685
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
网络游戏_数据库插入
weixin_30363509的博客
11-21 102
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using MySql.Data.MySqlClient;namespace MySql数据库操作{ class Program { static vo...
网络游戏_数据库查询
weixin_30830327的博客
11-21 287
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using MySql.Data.MySqlClient;namespace MySql数据库操作{ class Program { static vo...
客户端框架的搭建(丛林战争项目
nicolelili1的专栏
12-21 1971
一、创建一个Unity项目OnlineGameClient并导入资源包 2. 3. 4. 5. 6. 注: 游戏客户端架构
ssm智能家政保洁预约系统最新完整版程序+论文.zip
10-18
基于SSM框架的智能家政保洁预约系统,是一个旨在提高家政保洁服务预约效率和管理水平的平台。该系统通过集成现代信息技术,为家政公司、家政服务人员和消费者提供了一个便捷的在线预约和管理系统。 系统的主要功能包括: 1. **用户管理**:允许消费者注册、登录,并管理他们的个人资料和预约历史。 2. **家政人员管理**:家政服务人员可以注册并更新自己的个人信息、服务类别和服务时间。 3. **服务预约**:消费者可以浏览不同的家政服务选项,选择合适的服务人员,并在线预约服务。 4. **订单管理**:系统支持订单的创建、跟踪和管理,包括订单的确认、完成和评价。 5. **评价系统**:消费者可以在家政服务完成后对服务进行评价,帮助提高服务质量和透明度。 6. **后台管理**:管理员可以管理用户、家政人员信息、服务类别、预约订单以及处理用户反馈。 系统采用Java语言开发,使用MySQL数据库进行数据存储,通过B/S架构实现用户与服务的在线交互。系统设计考虑了不同用户角色的需求,包括管理员、家政服务人员和普通用户,每个角色都有相应的权限和功能。此外,系统还采用了软件组件化、精化体系结构、分离逻辑和数据等方法,以便于未来的系统升级和维护。 智能家政保洁预约系统通过提供一个集中的平台,不仅方便了消费者的预约和管理,也为家政服务人员提供了一个展示和推广自己服务的机会。同时,系统的后台管理功能为家政公司提供了强大的数据支持和决策辅助,有助于提高服务质量和管理效率。该系统的设计与实现,标志着家政保洁服务向现代化和网络化的转型,为管理决策和控制提供保障,是行业发展中的重要里程碑。
东方财富网抓取上市公司爬虫-EMSpider.zip
最新发布
10-18
东方财富网抓取上市公司爬虫-EMSpider
卫生健康系统-java-基于springBoot智能推荐的卫生健康系统(毕业论文+开题)
10-18
本基于智能推荐的卫生健康系统有管理员和用户两个角色。用户功能有个人中心,健康视频管理,视频类型管理,科室类型管理,医生信息管理,在线预约管理,我的收藏管理等。管理员功能有个人中心,用户管理,健康视频管理,视频类型管理,科室类型管理,医生信息管理,在线预约管理,健康论坛管理,我的收藏管理,留言板管理,系统管理等。因而具有一定的实用性。 本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得基于智能推荐的卫生健康系统管理工作系统化、规范化。
pxe无人值守安装centos
10-18
pxe无人值守安装centos
ESAPI入门:防XSS/SQL注入安全实践与问题解决
ESAPI,全称Enterprise Security API,是OWASP(开放Web应用安全项目)推出的一款开源工具,旨在帮助开发人员在编写Web应用程序时增强安全性,防止常见的漏洞如跨站脚本(XSS)攻击和SQL注入。这个库提供了一套预编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值