C#防SQL注入之SqlParameter参数化

最新推荐文章于 2022-10-12 13:38:26 发布
最新推荐文章于 2022-10-12 13:38:26 发布
阅读量1.4k 收藏 14
点赞数 2
分类专栏: C# 文章标签: SqlParameter SQL注入 C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22103321/article/details/104987189
版权

开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情

SqlCommand cmd = new SqlCommand();
cmd.CommandText = "select * from user where username='" + username + "' and password='" + password + "'";

所以我们必须丢弃上面这种方式,使用SqlParameter进行参数化,这样才能提升代码健壮性

SqlCommand cmd = new SqlCommand();
cmd.CommandText = "select * from user where username=@username and password=@password";
SqlParameter[] parameters = {
    new SqlParameter("@username", SqlDbType.NVarChar, 20),
    new SqlParameter("@password", SqlDbType.NVarChar, 20)};
parameters[0].Value = username;
parameters[1].Value = password;
foreach (SqlParameter parameter in parameters) {
	cmd.Parameters.Add(parameter);
}

虽然繁琐了些,但总比被攻击所带来的痛苦更好不是(* ̄︶ ̄)

Mick_小马哥
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C#参数化(SQL注入)
ICE FROG的博客
11-18 5506
/* * C#SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 *//* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块漏洞上添加了一个类来处理这个问题: * SqlParameter - using
c#SQL参数化查询自动生成SqlParameter列表
天水宇的博客
05-27 7744
string sql = @"INSERT INTO stu VALUES (@id,@name) "; 参数化查询是经常用到的,它可以有效SQL注入。但是需要手动去匹配参数@id,@name。数据量大时很繁琐,下面是自动填充SqlParameter列表的实现。 支持泛型,Object和ExpandoObject动态类型 using System; using System.Collec
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 5374
Ado.Net中SQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
c#sql注入,使用参数化,而不是字符串连接
图纸的博客
08-22 1302
SqlConnection conn = new SqlConnection("连接数据库的字符串"); SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn); SqlParameter parm1 = new SqlParameter("@...
.netSql注入SqlParameter参数详解
weixin_34293059的博客
06-04 376
C# publicSqlParameter( stringparameterName, SqlDbTypedbType, intsize, ParameterDirectiondirection, byteprecision, bytescale, stringsourceColumn, DataRowVersionsourceVersion, bools...
C# 中用 Sqlparameter 的几种用法
weixin_30401605的博客
09-02 1197
新建一个表: create table abc ( id int IDENTITY(1,1) NOT NULL, name nvarchar(100) , sex nvarchar(10) ) insert into abc values(‘asf’,'男') insert into abc values(‘ai’,'女') 创建表格完成。 新建一个...
C#SQL注入代码的三种方法
09-04
- **使用ORM框架**:如Entity Framework等ORM框架会自动处理参数化查询,降低了SQL注入的风险。 - **限制数据库权限**:为应用程序的数据库用户分配最小权限,只允许执行必要的操作,禁止执行如`DROP TABLE`等危险...
SqlServer:使用IN()子句C#进行参数化查询
04-07
参数化查询是SQL注入攻击的有效方法,因为它将用户输入的数据与查询结构分离,避免了直接拼接字符串生成SQL语句。 在C#中,我们可以使用ADO.NET库来实现这个功能。ADO.NET提供了SqlConnection、SqlCommand、Sql...
c# 全站sql注入
06-24
// 使用内置的SqlClient库进行参数化查询,SQL注入 return System.Data.SqlClient.SqlParameter.Create(input).Value.ToString(); } public static bool IsValidInput(string input) { // 验证输入,例如...
C# 中用 Sqlparameter 的两种用法
01-01
新建一个表: create table abc ( id int IDENTITY(1,1) NOT NULL, name nvarchar(100) , sex nvarchar(10) ) insert into abc values(‘asf','男') insert into abc values(‘ai','女') 创建表格完成。 新建一个存储过程: create procedure selbyid ( @id int, @thename nvarchar(100) output ) as select @thename= name from abc where id=@id 在
详解C#SqlParameter的作用与用法
08-31
本篇文章主要介绍了C#SqlParameter的作用与用法,因为通过SQL语句的方式,有时候存在脚本注入的危险,所以在大多数情况下不建议用拼接SQL语句字符串方式,希望通过SqlParameter实现来实现对数据的操作。
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
C# 启用事务提交多条带参数的SQL语句实例代码
01-21
具体代码如下所示: /// /// 启用事务提交多条带参数的SQL语句 /// /// 主表SQL /// 主表对应的参数 /// 明细表SQL语句 /// 明细表对应的参数 /// 返回事务是否成功 public static bool Up
数据库SqlParameter 的插入操作,sql注入的实现代码
01-20
总结,这段代码展示了如何使用C#和.NET Framework进行数据库操作,特别是通过`SqlParameter`SQL注入,保证了应用程序的安全性。同时,也演示了如何创建数据库连接、执行SQL命令以及处理操作结果的基本步骤。在...
asp.net C#命名参数SqlParameter详解
仰望星空的博客
12-31 1659
本文转载自“zky0901”
关于sqlserver中SqlParameter的用法注意事项
人生在手
10-12 977
关于sqlserver中SqlParameter的用法注意事项
原创 SqlParameter 事务 批量数据插入
weixin_30467087的博客
03-16 369
不错,很好,以后注入批量事务提交虽然麻烦点研究了几个小时,但不会是问题了 1 SqlCommand cmd; 2 HelpSqlServer helps = new HelpSqlServer(); 3 //定义SqlParameter数组 4 SqlParameter[] param = new SqlParame...
C#SqlParameter的作用与用法
cxu123321的博客
10-21 1852
C#SqlParameter的作用与用法 2018-04-11 16:28:23Andrewniu阅读数 8388更多 分类专栏:C#基础类MySQL操作类 般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? ...
C#怎么SQL注入
最新发布
07-15
C# 中,可以采取以下措施来SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句中,而不是直接将输入值嵌入到 SQL 查询字符串中。这样可以止恶意输入被解释为 SQL 代码。例如,在使用 SqlCommand 执行查询时,可以使用 SqlParameter 对象来设置查询参数。 以下是使用参数化查询的示例代码: ```csharp string sqlQuery = "SELECT * FROM Users WHERE Username = @username AND Password = @password"; using (SqlCommand command = new SqlCommand(sqlQuery, connection)) { command.Parameters.AddWithValue("@username", username); command.Parameters.AddWithValue("@password", password); // 执行查询... } ``` 2. 输入验证和过滤:在接受用户输入之前,进行输入验证和过滤是一种重要的安全措施。可以使用正则表达式、白名单过滤或其他校验机制来验证用户输入。确保只接受预期的输入,并拒绝或处理任何异常或恶意的输入。 3. 限制数据库权限:为了最小化攻击面,应该为数据库连接使用具有最低权限的账户。确保数据库账户只有执行必要操作的权限,并限制对敏感数据的访问。 4. 避免拼接 SQL 字符串:尽量避免直接拼接用户输入的值到 SQL 查询字符串中。如果需要动态构建查询语句,可以使用 StringBuilder 或类似的工具来安全地构建查询字符串。 5. 使用存储过程:存储过程是预编译的 SQL 代码,可以SQL 注入攻击。通过使用存储过程,可以将用户输入的值作为参数传递给存储过程,而不是直接嵌入到 SQL 查询中。 综上所述,采取这些措施可以帮助您有效地SQL 注入攻击。但是请记住,安全是一个持续的过程,需要综合考虑多种安全性措施来保护应用程序和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mick_小马哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值