ADO.NET连接数据库防止SQL注入

最新推荐文章于 2018-10-08 19:27:00 发布
最新推荐文章于 2018-10-08 19:27:00 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: ADO.NET 文章标签: SQL 防SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songyi160/article/details/51695287
版权

防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值
SQL注入实例演示:
登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。
构造恶意的Password:hello' or 1=1 --
 if (dataReader.Read())
{
      MessageBox.Show("登陆成功");
}
else
{
      MessageBox.Show("登陆失败");
}

参数化防SQL注入演示: 

string constr = "Data Source=zxtiger;Initial Catalog=itcastcn;Integrated Security=True";
using (SqlConnection con = new SqlConnection(constr))
{
    string sql = "select count(*) from UserLogin where LoginId=@uid and LoginPwd=@pwd";
    using (SqlCommand cmd = new SqlCommand(sql, con))
    {
        //在执行之前告诉Command对象@uid与@pwd将来用谁来代替
        //为变量@uid与@pwd赋值

        //方法一
        //cmd.Parameters.AddWithValue("@uid", txtUid.Text.Trim());
        //cmd.Parameters.AddWithValue("@pwd", txtPwd.Text);

        //方法二
        //SqlParameter p1 = new SqlParameter("@uid", txtUid.Text.Trim());
        //cmd.Parameters.Add(p1);
        //SqlParameter p2 = new SqlParameter("@pwd", txtPwd.Text);
        //cmd.Parameters.Add(p2);
                    
        //方法三
        SqlParameter[] pms = new SqlParameter[] {
        new SqlParameter("@uid", txtUid.Text.Trim()),
        new SqlParameter("@pwd", txtPwd.Text)
        cmd.Parameters.AddRange(pms);
    };
    con.Open();
    int r = Convert.ToInt32(cmd.ExecuteScalar());
    con.Close();
    if (r > 0)
    {
        MessageBox.Show("登录成功!");
    }
    else
    {
        MessageBox.Show("登录失败!");
    }
}

songyi160
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ado.net防止sql注入
Hello World
12-15 2193
简介:当web平台真正上线之后,遇到的问题之一就是黑客攻击的问题,攻击的手段中常用的手段就是DDOS和sql注入,关于DDOS攻击,也就是分布式拒绝服务式攻击,就是黑客黑掉大量pc机之后,发下命令,全部被黑的机器同时去访问服务器,当超出服务器的负载时,服务器就是down掉,也就达到了一定的目的,这种攻击,在程序中用技术是解决不了的,最简单的办法就是拼money,加大带宽,服务器等等,其他的方法,就
ADO.NET通用数据库访问
10-22
同时,通过参数化查询,可以防止SQL注入攻击,提高应用程序的安全性。 此外,ADO.NET的体系架构包括几个关键组件: - **Connection**:表示与数据库的连接,负责建立和关闭与数据库的会话。 - **Command**:用于...
ADO.NET 防止SQL注入
dietaolai0705的博客
08-20 170
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 推荐方法:再给命令发送SQL语句的时候分两次发...
使用ADO.NET的参数集合来有效防止SQL注入漏洞
weixin_33670713的博客
12-19 173
SQL注入漏洞是个老话题了,在以前做ASP做开发时,就经常需要用字符串的过虑等方式 来解决这个问题,但有时候确做的不够彻底,往往让黑客钻了空子。   那么目前在我们.NET中,不管是用WINFORM开发还是用WEBFORM,连接数据库时都 可以使用ADO.NET,在ADO.NET中,可以设置和获取命令对象的参数来有效的防止SQL 注入问题。不过,在网上查看很多有关ASP.NET的注入贴...
ADO.NET 基础(SQL注入
weixin_34198797的博客
07-16 103
       与数据库交互的 Web 应用程序中最严重的风险之一:SQL 注入攻击。        SQL 注入是应用程序开发人员未预期的把 SQL 代码传入到应用程序的过程,它由于应用程序的糟糕设计而使攻击成为可能,并且只有那些直接使用用户提供的值构建 SQL 语句的应用程序才会受影响。          问题在于命令时如何被执行的。SQL 语句通过字符串的构造技术动态创建,文本框的值被直...
C#ADO.Net连接数据库
08-01
- 使用参数化查询防止SQL注入攻击。 通过以上步骤,你可以使用C#和ADO.NET实现对数据库的各种操作。实际开发中,还可以结合Entity Framework等ORM框架进一步简化数据库操作。了解并熟练掌握这些知识点,将有助于你...
ADO.NET数据库访问技术
09-10
Command对象可以结合参数化查询,提高安全性并防止SQL注入攻击。 3. **DataReader对象**:提供从数据库中快速、连续读取数据的能力,通常是只进的、不可滚动的结果集。适合大量数据的流式处理,因为它占用的系统...
使用ADO.NET访问数据库.zip
10-20
在上机练习和课后作业中,可能会涵盖如何创建和执行SQL命令,处理数据集,使用事务,以及如何通过参数化查询防止SQL注入等话题。通过实际操作,你可以更深入地理解这些概念,并提升你的编程技能。 总结起来,"使用...
ado.net实现对sqlServer数据库的操作.docx
07-10
ADO.NET 实现对 SQL Server 数据库的操作 ADO.NET 是微软公司推出的一个数据访问技术,用于连接和操作关系...ADO.NET 提供了一种统一的方式来连接和操作关系数据库,可以用于实现对 SQL Server 数据库访问操作。
.net SQL注入实用代码案例
09-26
防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
ASP.NET(VB.NET)SQL注入脚本程序.rar
07-09
针对ASP.NET(vb.net)下SQL注入
史上最全的.net 防止sql注入攻击的替换文本
04-28
史上最全的.net 防止sql注入攻击的替换文本
asp.net简单sql注入漏洞
10-24
asp.net简单sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
黑马程序员—ADO.Net笔记(防止sql注入
chay1227的专栏
05-07 368
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------   通过ADO.Net在程序中执行SQL语句。 ADO.Net中提供了对各种不同数据库的统一操作接口。   连接SQLServer 1.    连接字符串:程序通过连接字符串指定要连哪台服务器上的、哪个实例的哪个数据库、用
ADO。Net(二)——防止SQL注入攻击
weixin_30338461的博客
10-08 112
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 推荐方法:再给命令发送SQL语句的时候分两次发送      把SQ...
ADO.NET学习之防止SQL注入,存储过程,SqlDataReader
了凡
06-09 2033
ADO.NET学习之防止SQL注入防止SQL注入使用参数化查询来防止SQL注入 // Parameterized query. @ProductName is the parameter string Command = "Select * from tblProductInventory where ProductName like @ProductName";
(2)C#之ADO.Net 如何解决SQL注入漏洞攻击
weixin_30338743的博客
10-19 139
SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句: 1 "select * from T_stuff where name = '"+txtbox1.text+"'"; 其中txtbox1是一个textbox控件,正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。 但是...
(转).Net程序如何防止注入(整站通用)
jackyrongvip的专栏
06-07 763
作者:淘特网 出处:淘特网注:转载请注明出处防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(st
ADO.NET数据库访问技术详解
本文档主要介绍了SQL注入漏洞攻击及御在.Net数据库中的应用,涵盖了数据库应用系统的架构、ADO.NET概述、使用ADO.NET访问数据库、事务、BLOB、DataAdapter和DataSet等知识点。 一、数据库应用系统的架构 数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值