C# sql语句拼接时 like情况的防sql注入的用法

最新推荐文章于 2023-09-12 12:01:17 发布
最新推荐文章于 2023-09-12 12:01:17 发布
阅读量2.5k 收藏 2
点赞数
文章标签: c# sql注入
如这样一个sql语句: 
select * from game where gamename like '%张三%'

用c#表示的话:

 string keywords = "张三";
            StringBuilder strSql=new StringBuilder();
            strSql.Append("select * from game where gamename like @keywords");

            SqlParameter[] parameters=new SqlParameter[]
            {
                new SqlParameter("@keywords","%"+keywords+"%"), 
            };

这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。

是个小知识点,希望对你能有所帮助! ^_^

原文出处:https://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html

qq_32915337
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# SQL语句参数化,通过包含like关键字的子句查询无结果问题
仰望星空的代码
05-11 4118
问题描述:SQL语句使用参数传递变量值,如果where子句中含有like关键字并使用sql的标准语法 like '%@parma%',则查询无数据或者报错 解决办法:sql语句中like部分修改为 like @parma,在变量parma中加入%,parma = "%"+parma+"%"。
asp.net SqlParameter关于Like的传参数无效问题
01-02
按常规的思路,我们会这样写 代码如下:String searchName =”Sam”; String strSql = “select * FROM Table1 where Name like ‘%@Name%’ “; SqlParameter[] parameters = { new SqlParameter(“@Name”, searchName) }; 但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(止攻击)。于是跟踪了Sql的执行,发现问题在于Sql给参数自动添加了单引号。 实际上在Sql,将like的代码解析成为了 like ‘%’Sam’%’ “,所
like后面如何用select语句
luoyin1208的专栏
03-25 1450
(1)select * from tab_xn_company t where t.company_name like %||(select c.company_name from tab_xn_company c where c.company_id=1179)||%;  (2)select * from r_user t where t.description like
sql like N'%...%' 在C#里的写法
weixin_33849942的博客
11-21 98
StringBuilder sb = new StringBuilder(); List<SqlParameter> parameters =new List<SqlParameter>(); 方法1 sb.Append(" and s.Name LIKE @Name"); parameters.Add(new SqlParameter("@Name", "%...
SQL中,有效止like的SQL注入
白高林的专栏
03-12 5572
SQL中有效止like的SQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入。 like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
c#sql语句中传递Like参数的写法
☆╮123☆
05-30 2645
string strSql = "select * from tbl_music where musicname like '%@ii%'";//错误的 string strSql = "select * from tbl_music where musicname like '%'+@name+'%'";//正确的 SqlParameter[] p ={ ...
C#使用带like的sql语句sql注入的方法
09-04
本文将探讨如何在C#中使用带`LIKE`的SQL语句SQL注入。 首先,让我们了解什么是SQL注入。当程序直接将用户输入的字符串拼接到SQL查询中,如果未进行适当的数据验证和转义,攻击者就可能插入有害的SQL代码,...
SqlServer参数化查询之where in和like实现详解
12-15
在SQL Server中,参数化查询是一种安全且高效的执行SQL的方式,它可以有效SQL注入,并在大量数据查询提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其...
C#模糊查询之Sql语句
11-20
C#编程中,进行模糊查询通常涉及到与数据库交互,其中SQL语句是核心部分。模糊查询允许我们使用通配符来查找不完全匹配的字符串,这对于用户输入搜索关键词非常有用。以下将详细讲解如何在C#中利用SQL进行模糊...
SQL中in参数化的用法
05-06
C# 中执行 SQL 语句,我们可以使用参数化查询来实现 where in 和 like 的参数化查询。如: ```csharp using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm =...
C# SqlParameter 里面使用 LIKE % 模糊查询
从入门到放弃
06-11 2232
C# SqlParameter 里面使用 LIKE %模糊查询的候 怎么写 都查询不出结果,但是把sql语句放到查询工具里查询,就可以出结果。 原写法:
C# sql参数拼接sql注入
hzm博客
09-23 765
/// <summary> /// 安全输出字符串(页面内容) /// </summary> /// <param name="s"></param> /// <returns></returns> public static string ToSafe(this string s) { if (s == null) { s ...
C#系列---⑨C#中如何实现带有参数的sql语句模糊查询(即Like查询)
Elsa~的博客
11-26 3506
对于数据库的模糊查询我们应该不陌生,就是用关键字like,通配符“%”进行的查询。在敲机房重构,遇到一个模糊查询的问题,就是在sql数据库中的模糊查询语句可以查出来数据,但相同的语句放到C#语句中利用参数进行模糊查询,运行不报错,但就是查不出任何数据。刚开始很是纳闷,就去网上查一些模糊查询的资料,但都没有一针见血的回答,不过巨人们还是给了很多指引哒,随后自己便在巨人的指引下不断地进...
SQL过滤,SQL注入
最新发布
ugo
09-12 456
一般使用#{},但在使用Mybatis的语法写动态排序,由于#{}会导致参数带上’',所以使用${},但是又怕sql注入的问题,将传入的参数,过滤后再拼接SQL,会更安全一些。
C# SQL 多条件查询技巧
热门推荐
limlimlim的专栏
03-05 1万+
#region 多条件搜索,使用List集合来拼接条件拼接Sql)             StringBuilder sql = new StringBuilder("select * from PhoneNum");             List wheres = new List();             if (cboGroup.SelectedIndex != 0)
c语言 sql注入,c#如何sql注入?
weixin_36360511的博客
05-24 1962
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入。下面我们给大家介绍C#sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6517
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
C#sql注入的帮助类
zhang123csdn的博客
12-09 1792
C#sql注入的帮助类
c#拼接SQLserver的sql sql注入
05-23
C#拼接 SQL Server 的 SQL 语句,为了止 SQL 注入攻击,应该使用参数化查询。 参数化查询是一种将查询参数与 SQL 查询语句分开的技术。这样可以避免 SQL 注入攻击,因为查询参数不会被解释为 SQL 代码。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值