.NET中参数化查询数据库

最新推荐文章于 2022-07-18 18:53:31 发布
最新推荐文章于 2022-07-18 18:53:31 发布
阅读量837 收藏
点赞数
分类专栏: C#&&.NET学习笔记

      一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!

  刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。

using (SqlConnection con =new SqlConnection())
{
  con.ConnectionString ="************************";
  con.Open();
  SqlCommand cmd =new SqlCommand();
  cmd.Connection = con;
  string classId ="S201";
  int age = 15;
  cmd.CommandText ="SELECT * FROM Student WHERE ClassId = '" + classId + "' AND Age >" + age;
  //省略
}

  后来查询语句条件多了,用+来连接感觉看不过来,而且字符串经常容易遗漏单引号,于是就开始用string.Format了。

cmd.CommandText =string.Format("SELECT * FROM Student WHERE ClassId = '{0}' AND Age > {1}",classId, age);

      似乎比以前看起来清晰了些,但总觉得写起来麻烦,特别是字段是字符串的,需要加单引号。于是就在cmd后打了个点(VS自动提示成员),想看看SqlCommand究竟有些其它的东西可用没。发现有个Parameters的属性,什么东西?Baidu Google一番,哈哈,终于找到想要的东西了。于是又进一步改进了查询语句。

cmd.CommandText = "SELECT * FROM Student WHERE ClassId = @chassId AND Age > @age";
cmd.Parameters.Add("classId", SqlDbType.VarChar);
cmd.Parameters.Add("age", SqlDbType.Int);
cmd.Parameters["classId"].Value = classId;
cmd.Parameters["age"].Value = age;

找到了好的方法,那就要数落一下坏的了;)。

  第一种和第二种连接字符串形势的查询语句存在注入漏洞,加入classId是从界面读取,如TextBox1.Text,classId = TextBox1.Text, 如果有用户在TextBox1中填入 1' OR '1'='1 ,我们把字符串连接起来看看就得到:

SELECT * FROM Student WHERE ClassId ='1' OR '1'='1' AND Age >15

      如你所见,原来还可以这么写。如果碰上个“心狠手辣”的,在TextBox1中填入 1';DELETE FROM Student;--,我们再看看连接起来的字符串:

SELECT * FROM Student WHERE ClassId ='1';DELETE FROM Student;--' AND Age >15

      后果可想而知。你的产品没上线,你就感谢下这位辣手的“用户”;如果你的产品上线了,那你就想心狠手辣地把谁怎么怎么滴了:)

  第三种写法就是没有被传说的参数化查询,心狠手辣的用户也对之束手无策 :)第三种方法的另外一个好处就是看起来结构很清晰;鄙人后来想往数据库中插图片,都不晓得怎么写语句,后来就用了第三种方式(第一种、第二种没试过插入图片,不晓得行不行)。

自由作戏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SqlCommand参数化查询数据库
vAction的专栏
11-19 4283
原SQL:SELECT ID  FROM SmsGuest WHERE (Type = @UserType) AND (UserName = @UserName)     //-----------------------------------------------------------                             using (SqlConnecti
asp.net和asp下ACCESS的参数化查询
09-06
在 ASP.NET ,我们可以使用 `OleDbCommand` 类的 `new OleDbParameter` 方法创建参数化查询。`OleDbParameter` 类允许我们定义参数的名称、数据类型、方向和大小。以下是一个示例: ```csharp string sql = ...
ado.net操作oracle简单参数化sql操作
11-23
关于ado.net简单的参数化查询,操作的是oracle数据库!关于ado.net简单的参数化查询,操作的是oracle数据库
转 C# , ASP.Net 关于 like in 实现参数化查询的问题
weixin_34318326的博客
12-03 120
  C# , ASP.Net 关于 like in 实现参数化查询的问题。2008-09-18 18:17对于 普通的 select等sql语句, 正常的参数化 语句 格式:           select * from profile where EmployeeID= @EmployeeID   for example:      string loginString = "selec...
.net mysql参数化查询,.NET 出现参数化查询 需要参数但未提供该参数的错误
weixin_30546683的博客
03-12 580
1、问题的来源在.NET或者C#,我们一般执行sql语句的话,推荐使用参数化查询,这样可以避免sql注入的攻击,但是,我在使用参数化查询的时候出现了以下的错误,详细如下图:图一这是写sql语句参数化查询的代码图2 这是MSSQL执行的sql语句2、问题的原因出现这种错误的原因在于,在参数化查询的时候,有几个参数的值为null,这样的话,就出现了如图2所示的错误。为啥会这样了??虽然参数的值就是为...
.net动态查询数据库demo
11-15
这个过程可能涉及参数化查询,以防止SQL注入攻击。最后,使用ADO.NET或Entity Framework等.NET数据访问技术执行SQL,获取数据并填充到GridControl。 5. **数据导出为Excel**: DevExpress提供了方便的数据导出...
基于Ado.Net多个关系型数据库DbHelper封装Demo
最新发布
01-20
3. **参数化查询**:为了防止SQL注入攻击,DbHelper类会提供方法来创建参数化命令,确保数据安全。 4. **事务处理**:对于需要原子性操作的场景,DbHelper类会提供BeginTransaction、Commit和Rollback等方法,以...
VB.NET查询ACCESS的数据.rar
01-06
在VB.NET查询ACCESS数据库是一项常见的任务,特别是在开发小型企业级应用或教学环境。本文将深入探讨如何...记住,无论何时进行数据库操作,都应确保数据安全,遵循最佳实践,如参数化查询以防止SQL注入攻击。
ASP.NET参数化查询
whaxrl的专栏
04-10 1911
一、参数化查询原理 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL指令的编译后,才套用参数运行,因此就算参数含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻
基于ASP.net的学生信息管理系统源代码(包括数据库,css,js)等
12-09
基于ASP.NET的学生信息管理系统,包含了数据库,css,js等重要信息,希望能够帮助到广大的爱好者
.NET下IN关键字下多个并列参数的参数化
醉酒的李白、的博客
07-18 423
.NET下IN关键字下多个并列参数的参数化
asp.net设置数据访问类(sql参数化
WithHeartAndSoul的专栏
08-07 765
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data.SqlClient;using System.Data;namespace MyCommunityDAL{    public static class GetConnection    {        private static SqlConnection _connection;        ///
参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET ...
weixin_33897722的博客
03-09 190
防止SQL注入漏洞攻击的有两种方法: 1)第一种是所有的SQL语句都存放在存储过程,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法, 2)参数化查询SQL语句 举例如下: //实例化Connect...
防止SQL注入-参数化SQL例代码asp.net
12-23 459
/// /// 更新一条数据 /// public void Update(Web.Model.T_Class model) { StringBuilder strSql = new StringBuilder(); strSql.Append("update T_sadfsd se
ASP.NET使用参数化查询
PaSifaLL的博客
04-03 498
书写数据库语句 string str = ConfigurationManager.ConnectionStrings["Con"].ConnectionString; SqlConnection conn = new SqlConnection(str); 打开数据库连接 conn.Open(); 3.书写SQL语句 string sql = "inser...
ado.net_登录_参数化查询版本
u010909858的专栏
12-09 476
private void btnLogin_Click(object sender, EventArgs e)         {             int count = 0;             // 验证             string uid = txtUid.Text.Trim();             string pwd = txtPwd.Text;
ASP.net MySQL 简单的参数化编辑操作
m0_56227168的博客
12-29 413
一.说明 这一篇简单的个人总结,方便自己的复制粘贴,软件是Visual Studio 2019,SQLyog 二.界面呈现部分 aspx前端界面部分代码: <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="WebForm4.aspx.cs" Inherits="MyTest03.WebForm4" %> <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/x
pdo 使用参数化查询 sql
weixin_34051201的博客
08-10 154
http://anfirst.cn/archives/1030 方法 bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。view sourceprint?01    $stm = $pdo-&gt;prepare("...
.net后段代码实现查询数据库
05-26
.NET 后端,可以使用 ADO.NET 提供的类库来查询数据库表。以下是一个简单的示例代码: ```csharp using System.Data.SqlClient...当然,这只是一个简单的示例,实际开发还需要考虑异常处理、参数化查询等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值