简单解决在ado.net中防止SQL注入

最新推荐文章于 2021-03-24 05:39:20 发布
最新推荐文章于 2021-03-24 05:39:20 发布
阅读量1k 收藏
点赞数
文章标签: sql 程序开发 web cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pjchen/article/details/4034974
版权

在程序开发过程系统安全是应该是开发人员关注的地方,特别是网站更加值得去关注,我们在开发用户登录的功能中有可能会给一些破坏者留有余地,例如SQL的注入问题,如何简单去解决这个问题呢?

 SqlConnection conn =
new SqlConnection("Data Source=localhost;Initial Catalog=web;");
SqlCommand cmd = conn.CreateCommand();
cmd.CommandText = "SELECT roles FROM web WHERE username=@username " +
"AND password=@password";

// Fill our parameters
cmd.Parameters.Add("@username", SqlDbType.NVarChar, 64).Value =Username.Value;
cmd.Parameters.Add("@password", SqlDbType.NVarChar, 128).Value = Password.Value
// Execute the command
conn.Open();
SqlDataReader reader = cmd.ExecuteReader();

上面的代码就可以简单的解决SQL注入的问题,同时也悟出一个道理,在口令校验过程中不要太信任输入数据的清白。

 

pjchen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ado.net防止sql注入
Hello World
12-15 2193
简介:当web平台真正上线之后,遇到的问题之一就是黑客攻击的问题,攻击的手段常用的手段就是DDOS和sql注入,关于DDOS攻击,也就是分布式拒绝服务式攻击,就是黑客黑掉大量pc机之后,发下命令,全部被黑的机器同时去访问服务器,当超出服务器的负载时,服务器就是down掉,也就达到了一定的目的,这种攻击,在程序用技术是解决不了的,最简单的办法就是拼money,加大带宽,服务器等等,其他的方法,就
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
ADO.NET 防止SQL注入
dietaolai0705的博客
08-20 170
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 推荐方法:再给命令发送SQL语句的时候分两次发...
使用ADO.NET的参数集合来有效防止SQL注入漏洞
weixin_33670713的博客
12-19 173
SQL注入漏洞是个老话题了,在以前做ASP做开发时,就经常需要用字符串的过虑等方式 来解决这个问题,但有时候确做的不够彻底,往往让黑客钻了空子。   那么目前在我们.NET,不管是用WINFORM开发还是用WEBFORM,连接数据库时都 可以使用ADO.NET,在ADO.NET,可以设置和获取命令对象的参数来有效的防止SQL 注入问题。不过,在网上查看很多有关ASP.NET的防注入贴...
ADO.NET基础学习-----四种模型,防止SQL注入
07-10 110
1.ExcuteNonQuery   执行非查询语句,返回受影响的行数。 1 // 1.ExcuteNonQuery 2 3 string sqlconn = "Data Source=wss;Initial Catalog=TextDB;User ID=sa;Password=w778764;Integrated Sec...
ADO.NET添加事务
12-14
本篇将详细讲解如何在ADO.NET添加事务,以及如何利用存储过程和参数化查询来防止SQL注入。 首先,事务在ADO.NET可以通过`SqlConnection`的`BeginTransaction`方法来启动。在提供的代码片段,`UpdateByTran`...
ado.net实现对sqlServer数据库的操作.docx
07-10
在本文档,我们使用的是 SqlConnection 类,它是 ADO.NET 用于连接 SQL Server 数据库的类。 在连接数据库成功后,可以使用 SqlCommand 对象来执行 SQL 语句。SqlCommand 对象有两个主要的方法:...
ADO.NET自己封装SqlHelper类
04-21
在.NET框架ADO.NET是用于访问数据库的主要技术,它提供了与各种数据库系统交互的接口。在实际开发,为了提高代码的复用性和可维护性,开发者常常会自封一个SqlHelper类来简化数据库操作。这个SqlHelper类通常...
AnbarPro_sqlserver_visualbasic_ado.net_
09-29
- **参数化查询**:防止SQL注入攻击,通过SqlParameter添加查询参数。 - **数据适配器**:使用DataAdapter填充DataSet或DataTable,实现数据的获取和更新。 - **数据绑定**:将数据库数据绑定到控件(如DataGridView...
ADO.NET 占位符(防SQL 注入攻击)
diaomen1607的博客
07-08 174
当在添加程序注入攻击时在控制台应用程序可以这样写: 请输入编号:U006 请输入用户名:无敌 请输入密码:1234 请输入昵称:呵呵 请输入性别:True 请输入生日:2000-1-1 请输入民族:N004');update Users set PassWord='0000';-- 添加成功! 这样,不仅添加成功一条数据,而且数据库Users表里的所有数据的密码都...
mysql 自带防注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 647
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
ado sql操作及防止注入
06-25 188
/*sql.Format(_T("delete from SELLINFO where Merchandise ='%s'"), m_name); m_pConnection->Execute((_bstr_t)sql, NULL, adCmdText); m_list.DeleteItem(pos);*/ //ÑéÖ¤sql×¢ÈëÎÊÌâ //_ConnectionP...
ado.netsql注入实例
ximengtiankong的专栏
06-18 339
<br /> 1    publicbool IsInsert(string userName, string password, string remark, string mail, int departId, int power)<br /> 2    {<br /> 3        string sql ="insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Rem
ADO.NET连接数据库防止SQL注入
松一160
06-16 1490
防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值 SQL注入实例演示: 登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句。 构造恶意的Password:hello' or 1=1 --  if (dataReader.Read()) {      
(2)C#之ADO.Net 如何解决SQL注入漏洞攻击
weixin_30338743的博客
10-19 139
SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句: 1 "select * from T_stuff where name = '"+txtbox1.text+"'"; 其txtbox1是一个textbox控件,正常情况下我们会在这个textbox控件输入一个姓名来查询员工的信息。 但是...
ADO.NET学习之防止SQL注入,存储过程,SqlDataReader
了凡
06-09 2033
ADO.NET学习之防止SQL注入防止SQL注入使用参数化查询来防止SQL注入 // Parameterized query. @ProductName is the parameter string Command = "Select * from tblProductInventory where ProductName like @ProductName";
wpf mysql防注入_也谈C#.NET防止SQL注入式攻击 - jacky73 - 博客园
weixin_33443597的博客
01-19 163
#region 防止sql注入式攻击(可用于UI层控制)////// 判断字符串是否有SQL攻击代码,by fangbo.yu 2008.07.18////// 传入用户提交数据/// true-安全;false-有注入攻击现有;public bool ProcessSqlStr(string inputString){string SqlStr = @"and|or|exec|execute|...
net如何防止mysql注入,防止SQL注入的ASP.NET方法实例解析
weixin_33470084的博客
03-24 167
最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。1、新建Global.asax文件。2、加入如下代码:void Application_BeginRequest(object sender, EventArgs e){bool result = false;if (Request.RequestType.ToUppe...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值