使用SQLParameter解决SQL注入问题

最新推荐文章于 2024-10-03 01:54:42 发布
最新推荐文章于 2024-10-03 01:54:42 发布
阅读量1.6k 收藏 10
点赞数 2
分类专栏: C# sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41609957/article/details/99481786
版权
C# 同时被 2 个专栏收录
35 篇文章 1 订阅
订阅专栏
sql
20 篇文章 2 订阅
订阅专栏

SQL注入

我们在编写sql语句的时候,常会这样来验证账号密码

string sql=$"select *from UserLogin where LoginId={User.LoginId} and LoginPwd='{User.LoginPwd}'";

sql注入可以利用传递特定参数来完成登录

例如,此时账号User.Login=1001,密码User.LoginPwd=zy123

string sql="select *from UserLogin where LoginId=1001 and LoginPwd='zy123'";

当我们不知道密码的时候可以这样(传递的参数为 'or 1=1 --)

string sql="select *from UserLogin where LoginId=1001 and LoginPwd=''or 1=1 --'";

先传递一个单引号与前面形成一对,再传入结果为true,接着注释掉原有的右边的单引号,这样就在不清楚密码的情况下实现了登录

 

 怎么防止呢,可以用SQLParameter来对变量参数化

private string connString = ConfigurationManager.ConnectionStrings["TestConnectString"].ToString();

public UserLogin UserLogin(UserLogin userlogin)
        {
            //参数化,特殊符号转义成普通字符串,防止sql注入
            SqlParameter[] paras = new SqlParameter[]
           {
               new SqlParameter("@userloginId",userlogin.LoginId),
               new SqlParameter("@userloginPwd",userlogin.LoginPwd)
           };
            string sql = "select LoginId,LoginPwd,LoginName from UserLogin where LoginPwd=@userloginPwd and LoginId=@userloginId";
            SqlConnection conn = new SqlConnection(connString);
            conn.Open();
            //创建执行脚本的对象
            SqlCommand cmd = new SqlCommand(sql, conn);
            cmd.Parameters.AddRange(paras);
            //提交查询          
            SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection);
            //判断是否正确,正确封装Name,否则置空
            if (sdr.Read())
            {
                userlogin.LoginName = sdr["LoginName"].ToString();
            }
            else
            {
                userlogin = null;//登录失败
            }
            sdr.Close();
            return userlogin;
        }

 SqlParameter还可以作为参数传入其他方法里,如SqlHelper

 /// <summary>
        /// 执行一个结果集的查询
        /// </summary>
        /// <param name="sql">sql语句</param>
        ///  <param name="paras">SqlParameter参数</param>
        /// <returns>返回一个数据流</returns>
        public static SqlDataReader ExeReader(string sql, params SqlParameter[] paras)//params 设置为可选参数(即可传可不传值)
        {
            SqlConnection conn = new SqlConnection(connString);
            SqlCommand cmd = new SqlCommand(sql, conn);
            if (paras.Length != 0)
            {
                cmd.Parameters.AddRange(paras);
            }               
            try
            {
                conn.Open();
                return cmd.ExecuteReader(CommandBehavior.CloseConnection);//定义了
            }
            catch (Exception ex)
            {
                throw new Exception("static SqlDataReader ExeReader(string sql)方法出错" + ex.Message);
            }
        }

        public UserLogin Login(UserLogin userlogin)
        {
            SqlParameter[] para = new SqlParameter[]
            {
               new SqlParameter("@userloginId",userlogin.LoginId),
               new SqlParameter("@userloginPwd",userlogin.LoginPwd)
            };
            //封装sql语句
            string sql = "select LoginId,LoginPwd,LoginName from UserLogin where LoginPwd=@userloginPwd And LoginId=@userloginId";
            //提交查询          
            SqlDataReader sdr = SQLHelper.ExeReader(sql,para);
            
            //判断是否正确,正确封装Name,否则置空
            if (sdr.Read())
            {
                userlogin.LoginName = sdr["LoginName"].ToString();
            }
            else
            {
                userlogin = null;//登录失败
            }
            sdr.Close();
            return userlogin;
        }

SqlParameter中new出来的参数必须有值(待验证)

FuTzy
关注
专栏目录
SqlParameter使用
华淑敏的博客
12-02 1222
前言 今天我在理三层逻辑的时候,看到了SqlParameter。因为头一次看到不太懂,所以上百度大致了解了一番。 SqlParameter是什么 表示SqlCommand的参数,以及可选的到DataSet列的映射。这个类不能被继承。(SqlCommand:表示要针对SQL Server数据库执行的Transact-SQL语句或存储过程。这个类不能被继承。DataS...
数据库SqlParameter 的插入操作,防止sql注入的实现代码
01-20
在给定的代码示例中,使用了`SqlParameter`来实现数据库插入操作,并且有效地防止了SQL注入攻击。以下是对这段代码的详细解析: 1. **SqlConnection与ConnectionString**: `SqlConnection`是.NET Framework中的类...
SqlParameterSQL传递参数
weixin_34112208的博客
05-11 352
1.数据访问层 using的用法: 01.可以using System;导命名控空间 02.using 的语法结构 using(变量类型 变量名 =new 变量类型()) { } 案例: 03.using的原理 为什么出了using所在的{},会自动回收对象。 原因是当我们将要出{},系统自动调用了Dispose()方法。 而...
SQL注入之报错注入方法汇总
最新发布
wanggonghanfei的博客
10-03 1888
响应过程:用户在前台页面输入检索内容后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行数据库将执行的结果返回后台,后台将数据库执行的结果无加区别的显示在前台页面0.2 类型。
SqlParameter
a32232730的博客
07-15 201
1 List<SqlParameter> parameters = new List<SqlParameter>(); 2 SqlParameter param; 3 foreach (...) 4 { 5 param = new SqlParameter(...); 6 parameters.Add(param); 7 } 8 SqlPara...
SQL防注入SqlParameter使用
admindong的博客
09-01 2160
概述:一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 目的:防止Sql注入被攻击。 代码:首先,先写一个没有SqlParameter注入的代码 String sql=”select * from Table1 where 
详解C#中SqlParameter的作用与用法
08-31
在C#编程中,SqlParameter是System.Data....通过正确使用SqlParameter,开发者可以避免SQL注入攻击,同时确保数据操作的准确性和效率。在编写任何涉及用户输入和数据库交互的C#应用时,都应优先考虑使用SqlParameter
使用SqlParameter防止SQL注入
"SqlParameter使用详解" 在SQL编程中,防止SQL注入是至关重要的,因为这种攻击方式可能导致数据泄露甚至数据库的严重损坏。`SqlParameter`是.NET框架中的一个关键类,用于构建安全、高效的参数化查询,从而有效地...
C# 中用 Sqlparameter 的两种用法
08-27
C# 中用 Sqlparameter 的两种用法 C# 中用 Sqlparameter 的两种用法是指...使用 Sqlparameter 对象可以避免 SQL 注入攻击,并且可以提高应用程序的安全性。同时,使用 Sqlparameter 对象也可以简化代码的编写和维护。
SqlParameter的用法
weixin_34034670的博客
06-19 416
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
SqlParameter的作用与用法
weixin_30267691的博客
02-09 555
  一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1...
C# 中使用SqlParameter来防止sql注入
zijieer的专栏
10-28 1275
using (SqlConnection conn = new SqlConnection("Data Source=.; Initial Catalog=MyTest;User ID=sa;Password=zijieer")) { conn.Open(); using (SqlCommand cmd
SqlParameter防止SQL注入
dengtangda9444的博客
10-25 128
  SQL注入解决方案有好几种,待我细细研究过之后逐一讲解。 方法一:SqlParameter方法 这里有一篇博客是详细介绍SqlParameter的,可以看看 点我 string sqlStr="select * from Table where Id=@AutoID"; SqlParameter[] parameters = { new Sq...
SqlParameter 实现数据库的插入操作,防止sql注入
weixin_33874713的博客
04-22 123
今天学习了一下SqlParameter的用法,原来这么写是为了防止sql注入,破坏数据库的。并自己动手连接了数据库。 例子:  点击Button1按钮的时候就把数据插入数据库中。 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web....
C#中SqlParameter的作用与用法
热门推荐
且听风吟的专栏
10-20 8万+
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13
sqlparameter
liuzhe147的博客
05-18 335
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值