黑马程序员--ADO.NET学习之SQL注入漏洞攻击

最新推荐文章于 2024-07-13 18:02:33 发布
最新推荐文章于 2024-07-13 18:02:33 发布
阅读量328 收藏
点赞数
文章标签: sql windows phone string security .net cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sh1324791/article/details/7573843
版权

---------------------- Windows Phone 7手机开发.Net培训、期待与您交流! ----------------------


登录判断:select * from T_Users where UserName=... and
Password=...,将参数拼到SQL语句中。

            Console.WriteLine("请输入用户名!");
            string userName = Console.ReadLine ();
            Console.WriteLine("请输入密码!");
            string pass = Console.ReadLine();
            string str = "Data Source=B048;Initial Catalog=Text;Integrated Security=True";
            using (SqlConnection conn = new SqlConnection(str))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select count(*) from Person where Name ='" + userName+ "' and Password = '"+pass+"'";
                    int i = Convert.Toint32(cmd.ExecuteScalar());
                    if(i>0)
                    {
                       Console.WriteLine("登陆成功!");
                    }
                    else
                   {
                    Console.WriteLine("用户名或密码错误,登陆失败!");
                   }
                }
             }
                   Console.WriteLine("OK");
                   Console.ReadLine();

注:上述程序有漏洞,则(用户名可随意输入,密码:1'or '1' = '1  则可成功登陆)。

避免漏洞输入 代码:

   Console.WriteLine("请输入用户名!");
            string userName = Console.ReadLine ();
            Console.WriteLine("请输入密码!");
            string pass = Console.ReadLine();
            string str = "Data Source=(local);Initial Catalog=Text;Integrated Security=True";
            using (SqlConnection conn = new SqlConnection(str))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select * from Person where Name = @userName and Password = @pass";
                    cmd.Parameters.Add(new sqlParameter("userName",userName));
                    cmd.Parameters.Add(new sqlParameter("pass",pass));
                    int i = Convert.Toint32(cmd.ExecuteScalar());
                    if(i>0)
                    {
                       Console.WriteLine("登陆成功!");
                    }
                    else
                   {
                    Console.WriteLine("用户名或密码错误,登陆失败!");
                   }
                }
             }
                   Console.WriteLine("OK");
                   Console.ReadLine();


 

---------------------- Windows Phone 7手机开发.Net培训、期待与您交流! ---------------------- 详细请查看:http://net.itheima.com/

 

sh1324791
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET-Core-with-ADO.NET:一个使用 ADO.NET 的 ASP.NET Core 网站
05-30
ASP.NET-Core-with-ADO.NET 一个使用 ADO.NET 的 ASP.NET Core 网站MyUserStore.cs和MyRoleStore.cs演示了IUserStore和IRoleStore的自定义实现。
CRUD-Operations-in-ADO.NET-with-ASP.NET-Core:该存储库在具有ASP.NET Core的ADO.NET中具有CRUD操作
05-13
带有ASP.NET Core的ADO.NET中的CRUD操作 在此存储库中,我对数据库中的Teachers表执行了CRUD操作(CREATE,READ,UPDATE和DELETE)。 与ASP.NET Core MVC 5.0兼容 该存储库是为想要学习3件事的初学者制作的: ADO...
黑马程序员-Ado.Net
huangzhen222的专栏
04-08 542
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ------------------ 小小的感想:越是长大,发现时间走得也越快,这两年过得比以往任何时候都快,最大的收获就是找到了职业方向,那就是做一名优秀的.net程序员,这个目标在去年12月份就已经确定了,虽然一直在学视频,真正投入的却不多,每天不是早上五点多起床,就是凌晨四五
黑马笔记-ADO.NET基础学习(一)
chaoker
11-24 450
黑马笔记-ADO.NET基础学习(一) ---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------        用了几天的时间,学习ADO.NET基础内容,学过之后觉得很兴奋,但并不是完全理解,可能会再以后的学习中慢慢深入,今天浅谈一下心得,不当之处,大家多给意见:
黑马程序员---关于对ADO.Net学习的总结
wzkf001的专栏
06-11 201
---------------------- android培训、java培训、期待与您交流! ---------------------- 一、连接SQLsever 1.连接字符串:程序通过连接字符串指定要连哪台服务器上的,包括哪个实例的哪个数据库、用什么用户名和密码等。 2.项目内嵌mdf文件形式的连接字符串“"DataSource=.\SQLEXPRESS;AttachDb
黑马程序员-自学笔记-SQLServer与ADO.Net(四)
u011288567的专栏
10-13 1015
SQLServer与ADO.Net(四) ---------------------- ASP.Net+Android+IOS开发、.Net培训、期待与您交流! ---------------------- 1、ADO.NET l  为什么要学ADO.NET •    之前我们所学只能在查询分析器里查看数据,操作数据,我们不能让普通用户去学sql,所以我们搭建一个界面(Web Wi
黑马程序员--------Ado.net入门学习
hwq989的专栏
01-12 251
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ---------------------- 今天就自己在Ado.net的基础学习中遇到的问题做一下总结。 学习开始阶段就遇到很大麻烦,环境配置连接数据库一直出错。使用的工具是VS2010(旗舰版) 和SQLserver2008。 static void M
黑马程序员-------ADO.NET数据访问
guoguo_19900310的专栏
01-15 541
---------------------- http://edu.csdn.net"target="blank">ASP.Net+Android+IOS开发、 http://edu.csdn.net"target="blank">.Net培训、期待与您交流! ---------------------- 一、ADO.NET是什么?     在装了SQLServer服务器的机器上,可以通过S
黑马程序员--笔记:ADO.Net
yangnan0321的专栏
11-24 255
---------------------- http://net.itheima.com/" target="blank">Windows Phone 7手机开发、http://net.itheima.com/" target="blank">.Net培训、期待与您交流! ----------------------    用程序和数据库打交到~首先,要连接那个数据库捏:Connectio
黑马程序员--ADO.NET知识小结
baoshouying的专栏
07-05 512
ADO.NET 中的连接等资源都实现了IDisposable接口(在使用要进行资源的释放,最简单的是使用using(SqlConnection这个对象)),可以使用using进行资源管理 。执行备注中的代码如果成功了就OK   例子: Using(SqlCommand cmd =conn.CreateCommand()) { Cmd.CommandText=”insert  into t
黑马程序员-Ado.net学习之参数化查询(防止sql注入
heima_libo的专栏
12-08 302
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ---------------------- 防止sql注入的一些代码: Console.WriteLine("请输入用户名:"); string username = Console.ReadLine(); Console.WriteLine("请输入密码:");
Window-Based-Online-CV-Application-Ado.net
04-22
它允许开发者传递参数,增强了SQL语句的安全性,防止SQL注入攻击。 3. DataAdapter对象:它是数据库和DataSet之间的桥梁,用于填充DataSet,并将DataSet中的更改同步回数据库。它通过ExecuteNonQuery(非查询操作)...
ADO.NET异步SQL调用
04-07
ADO.NET异步SQL调用是.NET框架中一个关键特性,特别是在处理大数据量或者长时间运行的数据库操作时,能够显著提高应用程序的响应性。通过异步调用,主线程可以继续执行其他任务,而不是等待SQL查询完成,从而提升了...
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
国产精品ORM框架-SqlSugar详解 SqlSugar初识 专题一
最新发布
cao919的专栏Net
07-13 381
国产精品ORM框架-SqlSugar详解 1、SqlSugar初识 2、开始实操 3、增删改操作 4、进阶功能 5优美的表达式、仓储、UnitOfWork、DbContext、AOP `代码先行,先有代码,然后有数据库,只关注业务,业务中的对象如果需要就直接创建实体,对应的数。简单易用、功能齐全、高性能、轻量级、服务齐全、官网教程文档、有专业技术支持一天18小时。支持 完整的SAAS一套应用 跨库查询 、租户分库 、租户分表 和 租户数据隔离。数据库的结构完全由代码来决定,数据库表--主键、自增,字段类型。
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
技术笔记
07-12 458
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
【postgresql】视图(View)
一个写了10年bug的程序员日常笔记。
07-10 546
PostgreSQL 中的视图(View)是一种虚拟表,其内容由 SQL 查询定义。视图可以简化复杂的 SQL 操作,使得用户能够以一种更直观、更易于理解的方式来访问和操作数据。PostgreSQL 视图是只读的,因此可能无法在视图上执行 DELETE、INSERT 或 UPDATE 语句。但是可以在视图上创建一个触发器,当尝试 DELETE、INSERT 或 UPDATE 视图时触发,需要做的动作在触发器内容中定义。
[高频 SQL 50 题(基础版)]第一千七百五十七题,可回收且低脂产品
weixin_45201305的博客
07-10 269
low_fats 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品是低脂产品,'N' 表示不是低脂产品。recyclable 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品可回收,而 'N' 表示不可回收。没什么难度,作为基础题五十题的第一题练手,现在也开始陆续写一些SQL,作为记录,和leetcode一起,大家都加油。编写解决方案找出既是低脂又是可回收的产品编号。是该表的主键(具有唯一值的列)。
Oracle-12c数据库基础教程-Oracle-12c数据库ADO.NET数据访问技术完整.pptx
11-14
此外,我们还学习了如何使用ADO.NET中的Command对象来执行SQL语句,包括查询语句、插入语句、更新语句和删除语句等,实现数据库操作的功能。 在教程的后续部分,我们还深入学习ADO.NET中的数据读取和数据更新操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值