SqlParameter防SQL注入的方法

最新推荐文章于 2023-01-06 09:02:31 发布
最新推荐文章于 2023-01-06 09:02:31 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: .net 文章标签: sqlparameter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012698249/article/details/77932298
版权
1、 SqlParameter 构造函数

SqlParameter(String, SqlDbType, Int32,ParameterDirection, Byte, Byte, String, DataRowVersion, Boolean, Object,String, String, String),其参数分别代表该类使用参数名、参数的类型、参数的长度、方向、精度、小数位数、源列名称、DataRowVersion 值之一、用于源列映射的布尔值、SqlParameter 的值、此 XML 实例的架构集合所在的数据库的名称、此 XML 实例的架构集合所在的关系架构以及此参数的架构集合的名称。

2、  SqlParameter的应用

List<CommandInfo> cmd = new List<CommandInfo>();
for (int i = 0; i < dt.Rows.Count; i++)
{
  StringBuilder strSqlConfig = new StringBuilder();
  strSqlConfig.Append("insert into CMB_UpdateStatus_OnlineRecord(OnlineRecordTicketNo,SiemensEmployeeName)"
      + " values(@Tno,@Name) ");
  try
    {
       SqlParameter[] paraConfig ={ new SqlParameter("@Tno", SqlDbType.NVarChar, 10),
                                   new SqlParameter("@Name", SqlDbType.NVarChar,50)};
       paraConfig[0].Value = dt.Rows[i]["机票号"].ToString();
        paraConfig[1].Value = dt.Rows[i]["姓名"].ToString();
       cmd.Add(new CommandInfo(strSqlConfig.ToString(), paraConfig));
     }
   catch (Exception ex)
    {
        MessageBox.Show("excel写入数据库时发生错误:{0}", ex.Message);
        return;
     }
    }
  Hippo.ExecuteSqlTran(cmd);
3、 SqlParameter的基本原理是执行计划重用。即对注入后的SQL语句重新进行了编译,重新执行了语法解析。
参考:https://www.2cto.com/article/201402/281712.html

御行所
关注
专栏目录
C#SQL注入代码的三种方法
09-04
在C#中,SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
Oracle事务在代码中的实现
最新发布
一支黑色の铅笔博客
06-12 121
Oracle事务在代码中的实现
SqlParameter SQL注入 SqlParameter[]的声明
霜知坚冰的专栏
09-23 617
首先:不SQL注入 int Id =1;              string Name="lui";              cmd.CommandText="insert into TUserLogin values("+Id+",'"+Name+"'
C#通用的数据操作类
超子
03-31 997
 /// 通用数据库接口   ///    /// 数据库访问的一些常用方法   /// 由北京联高软件开发有限公司Sharp Online自动生成   /// 改编自李天平先生的作品之源代码 SQLHelperSQL.cs   /// 访问http://www.maticsoft.com/ 可以获得更多的信息   ///    ///    using System;   using Syste
C# 中SqlTransaction--启动事务 先删除从表,再删除主表
欢迎私信、留言交流
04-12 1227
事务的基本原理介绍 msdn中的解释: ***https://docs.microsoft.com/zh-cn/dotnet/api/system.data.sqlclient.sqltransaction?view=netframework-4.8 *** 事务是将一系列操作作为一个单元执行,要么成功,要么失败,回滚到最初状态。只要有一个参与者无法做出此保证,整个事务就会失败。事务范围内的所有数...
一个实用的数据类
何足道也
06-07 786
public abstract class SQLHelper { //数据库连接字符串(web.config来配置),可以动态更改connectionString支持多数据库. public static string connectionString = ConfigurationManager.ConnectionStrings["Connect
C#SQL注入SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user ...
数据库SqlParameter 的插入操作,sql注入的实现代码
01-20
在给定的代码示例中,使用了`SqlParameter`来实现数据库插入操作,并且有效地止了SQL注入攻击。以下是对这段代码的详细解析: 1. **SqlConnection与ConnectionString**: `SqlConnection`是.NET Framework中的类...
C#使用带like的sql语句时sql注入方法
09-04
1. **参数化查询**:像示例代码中那样,使用参数化查询是SQL注入的最佳方法。在C#中,可以使用`SqlCommand`对象的`Parameters`集合,将变量作为参数而不是直接拼接到SQL语句中。在示例中,我们看到`@keywords`...
C#三层中oracle事务的使用
wr6521941的专栏
04-28 1349
事务中包括的诸操作要么都做,要么都不做 DbHelper.cs /// /// 执行多条SQL语句,实现数据库事务。 /// /// SQL语句的哈希表(key为sql语句,value是该语句的OracleParameter[]) public static int ExecuteSqlTran(System.Col
C# 使用list方法插入datatable中的数据到数据库
qq_18932003的博客
03-12 2684
前提:datatable里有值,数据库中有相应的表 一、list,string方法 List<string> lstSql = new List<string>(); for (int i = 0; i < dt.Rows.Count; i++) { ...
CommandInfo 类()
jekc2008的专栏
01-10 2096
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; namespace DBUtility {     public enum EffentNextType     {         /// &lt;summary&g...
linux 遍历目录文件 list命令 c语言实现
黑色低级高中生的博客
10-27 1592
linux 遍历目录文件 list命令 c语言实现任务描述源代码(list.c)测试样例 任务描述 源代码(list.c) #include <stdio.h> #include <string.h> #include <dirent.h> #include <sys/stat.h> #define DEBUG_STD_OUTPUT enum LIST_COMMAND_ARG_INFO { ARG_NO_ATTACHED_BIT =
commandinfo mysql dbhelper_通用数据库操作辅助类DbHelper
weixin_28365523的博客
02-06 242
使用方式DbHelperdb;OpenFileDialogofd=newOpenFileDialog();ofd.Filter="SQLite数据文件(*.db3;*.db;*.sqlite)|*.db3;*.db;*.sqlite";if(ofd.ShowDialog()==DialogResult.OK){txtDataSource.Text=ofd.FileName;db=newDbHe...
使用list方法插入datatable中的数据到数据库
u012698249的博客
08-23 2642
两种list方式,可以多条合并一起插入到数据库中
SQL 止注入(SqlParameter传参)
qq_43137834的博客
01-06 326
【代码】SQL 止注入(SqlParameter传参)
使用SQLParameter解决SQL注入问题
qq_41609957的博客
08-13 1608
SQL注入 我们在编写sql语句的时候,常会这样来验证账号密码 string sql=$"select *from UserLogin where LoginId={User.LoginId} and LoginPwd='{User.LoginPwd}'"; sql注入可以利用传递特定参数来完成登录 例如,此时账号User.Login=1001,密码User.LoginPwd=zy123...
使用SqlParameterSQL注入
`SqlParameter`是.NET框架中的一个关键类,用于构建安全、高效的参数化查询,从而有效地SQL注入攻击。 `SqlParameter`是`System.Data.SqlClient`命名空间的一部分,它允许我们在执行SQL命令时定义参数,而不是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值