SqlParameter防 SQL注入 SqlParameter[]的声明

最新推荐文章于 2022-01-19 11:08:19 发布
最新推荐文章于 2022-01-19 11:08:19 发布
阅读量606 收藏
点赞数
分类专栏: Asp.Net(Web C#) WinForm(窗体c#) 文章标签: sql insert 数据库 string mobile email
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyq228/article/details/6803901
版权

首先:不防SQL注入

int Id =1;

             string Name="lui";

             cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"')";

        因为Id是数值,所以在传递的时候只需要在sql字符串中用"+Id+"即可实现,而   Name是字符串,所以在传递的时候还需要在"+Name+"两边各加一个单引号(')来 实现;

然后:防SQL注入一

            int Id =1;

            string Name="lui";

            cmd.CommandText="insert into TUserLogin values(@Id,@Name)";

          //上条语句中直接在sql语句中写添加的参数名,不论参数类型都是如此.

           SqlParameter  para=new SqlParameter("@Id",SqlDbType.int,4);//生成一个名字为@Id的参数,必须以@开头表示是添加的参数,并设置其类型长度,类型长度与数据库中对应字段相同

           para.Value=Id;//给参数赋值

           cmd.Parameters.Add(para);//必须把参数变量添加到命令对象中去。

           //以下类似

           para=new SqlParameter("@Name",SqlDbType.VarChar,16);

           para.Value=Name;

           com.Parameters.Add(para);

        ...然后就可以执行数据库操作了。

防SQL注入二:

///SqlParameter[]第一种写法

SqlParameter[] paraList = new SqlParameter[7];

paraList[0] = new SqlParameter( "@userName ", SqlDbType.VarChar, 50);
paraList[0].Value = personModel.UserName;
paraList[1] = new SqlParameter( "@account ", SqlDbType.VarChar, 100);
paraList[1].Value = personModel.Account;
paraList[2] = new SqlParameter( "@pwd ", SqlDbType.VarChar, 100);
paraList[2].Value = personModel.Pwd;
paraList[3] = new SqlParameter( "@unitID ", SqlDbType.VarChar, 20);
paraList[3].Value = personModel.UnitID;
paraList[4] = new SqlParameter( "@email ", SqlDbType.VarChar, 100);
paraList[4].Value = personModel.Email;
paraList[5] = new SqlParameter( "@officeTel ", SqlDbType.VarChar, 20);
paraList[5].Value = personModel.OfficeTel;
paraList[6] = new SqlParameter( "@mobile ", SqlDbType.VarChar, 20);
paraList[6].Value = personModel.Mobile;
SqlParameter[] 的第二种写法

SqlParameter[] parms = new SqlParameter[] {
                    new SqlParameter(SQL_PARM_RECEIVE, SqlDbType.NVarChar,20),
                    new SqlParameter(SQL_PARM_SEND, SqlDbType.NVarChar,20),
                    new SqlParameter(SQL_PARM_TITLE, SqlDbType.NVarChar,20),
                    new SqlParameter(SQL_PARM_CONTENT, SqlDbType.NVarChar, 100)};
            SqlCommand cmd = new SqlCommand();

                       // 依次给参数赋值
                       parms[0].Value = receive;
                       parms[1].Value = send;
                       parms[2].Value = title;
                       parms[3].Value = content;
                       //将参数添加到SqlCommand命令中
                       foreach (SqlParameter parm in parms)
                               cmd.Parameters.Add(parm);
                       //获取数据库的连接字符串
           using (SqlConnection conn = new SqlConnection(SqlHelper.ConnectionStringLocalTra nsaction))
            {
                               //打开数据库连接,执行命令
                               conn.Open();
                               //设置Sqlcommand命令的属性
                               cmd.Connection = conn;
                               cmd.CommandType = CommandType.Text;
                               cmd.CommandText = SQL_INSERT_MESSAGE;
                               //执行添加的SqlCommand命令
                               int val = cmd.ExecuteNonQuery();
                               //清空SqlCommand命令中的参数
                               cmd.Parameters.Clear();
           }
霜知坚冰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库SqlParameter 的插入操作,sql注入的实现代码
10-27
今天学习了一下SqlParameter的用法,原来这么写是为了sql注入,破坏数据库的。并自己动手连接了数据库
详解C#中SqlParameter的作用与用法
08-31
本文将详细解析SqlParameter的作用及其用法,特别是在SQL注入和处理复杂数据类型方面的重要性。 首先,我们要了解SQL注入的风险。在直接拼接SQL语句时,如果用户输入的数据未经验证,恶意用户可能会注入恶意SQL...
SqlParameter
weixin_30784141的博客
08-11 65
string strSql = "Insert into News(TypeId,NewsCaption,NewsContent) values(@TypeId,@NewsCaption,@NewsContent)"; SqlParameter[] paras ={ new SqlParameter("@TypeId",SqlDbType.Int), new SqlPa...
SqlParameterSQL传递参数
weixin_34112208的博客
05-11 336
1.数据访问层 using的用法: 01.可以using System;导命名控空间 02.using 的语法结构 using(变量类型 变量名 =new 变量类型()) { } 案例: 03.using的原理 为什么出了using所在的{},会自动回收对象。 原因是当我们将要出{},系统自动调用了Dispose()方法。 而...
SqlParameter[]具体用法
01-12 469
做登录功能的时候,需要止注入,所以用了SqlParameter。 修改了,这样就不用我的那个给cmd附加多个SqlParameter的方法了 cmd.Parameters.AddRange(pg); 登录按钮代码如下 protected void Button1_Click1(object sender, EventArgs e) { ...
C#SQL注入SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user ...
C# 中用 Sqlparameter 的两种用法
08-27
Sqlparameter 对象是 ADO.NET 中的一种参数对象,它可以用来将参数传递给 SQL 语句或存储过程,从而避免 SQL 注入攻击。 第一种用法:使用 Sqlparameter 对象来执行 SQL 语句 在这第一种用法中,我们可以使用 Sql...
SqlParameterSQL注入
dengtangda9444的博客
10-25 115
  SQL注入的解决方案有好几种,待我细细研究过之后逐一讲解。 方法一:SqlParameter方法 这里有一篇博客是详细介绍SqlParameter的,可以看看 点我 string sqlStr="select * from Table where Id=@AutoID"; SqlParameter[] parameters = { new Sq...
SqlParameter[] 添加
weixin_30478619的博客
11-19 159
protectedvoidButton1_Click(objectsender,EventArgse) { stringstrSql="insertintoInvoice_Rebate_Customer_L(FORM_ID,LINE_NO)values(@formNo,@lineNo)"; SqlP...
SqlParameter[]写法
热门推荐
fjyts的专栏
08-02 1万+
//封装SqlParameter 一次性一行添加sql参数 包括类型,尺寸,进出... public static SqlParameter AddParameter(string parameterName, object parameterValue, SqlDbType dbType, int parameterSize, ParameterDirection Direction) {
SqlParameter[] 数组 sql语句中参数的填充的通用访问类的使用方法
cuibaoming的博客
01-19 796
//1.定义通用访问类的方法 public static SqlDataReader GetReader(string sql,SqlParameter [] para) { //实例化conn SqlConnection conn = new SqlConnection(connString); //实例化cmd SqlCommand cmd = new SqlCommand(sql, conn); try { conn.Open(); //把参数数组添加到Command对象中 cmd.Parameter
SqlParameter[] 数组使用
perfume_gd的专栏
02-23 916
        SqlParameter[] prams = new SqlParameter[5] ;            prams[0] = new SqlParameter();        prams[0].ParameterName = "@sno";        prams[0].Value = sno; 第一行只是将prams 定义为SqlParameter
SqlparameterSQL注入
快乐学习
07-25 1677
一、SQL注入的原因          随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQ
SQL 注入攻击
不忘初心 砥砺前行
02-22 582
目录 为什么要聊 SQL 注入攻击? 什么是 SQL 注入攻击? 如何进行 SQL 注入攻击? 如何范? 常见面试题 瞎比比 为什么要聊 SQL 注入攻击? 我这人有个想法,就是不管自己跳不跳槽,每年都会调个时间去面试一下,一来可以摸摸自己的底,知道自己的价值,二来也可以知道市场的环境局势。可以更好地为自己定位,能及时查缺补漏。所以半...
SqlParameter[] 添加参数
weixin_34081595的博客
06-17 549
以前一直是在new的时候直接指定 SqlParameter[] parms = new SqlParameter[]{ new SqlParameter('@id','id'), new SqlParameter('@name','name') }; 现在需要根据条件判断需要添加哪些参数开始以为可以像List那样使用Add方法,发现SqlParameter[]不支持 于是采用以...
ASP.NETSQL注入:使用SqlParameter进行数据库插入操作
本文档主要介绍了ASP.NET编程中如何使用SqlParameter进行数据库的插入操作,同时提供了SQL注入的实现代码示例。 在ASP.NET开发中,处理与数据库的交互是常见的任务之一。为了确保数据安全并SQL注入攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值