StringBuilder--拼接Sql语句防Sql注入

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量1.7k 收藏 2
点赞数
文章标签: java c/c++ 数据库
原文链接:http://www.cnblogs.com/lbjcoder/p/8341600.html
版权

1、首先需要填写一个StringBuilder的扩展类

namespace Code.Common
{
    /// <summary>
    /// 扩展StringBuilder方法
    /// 防止Sql注入
    /// </summary>
    public static class StringBuilderExtend
    {
        public static StringBuilder AppendFormatWithSafe(this StringBuilder a, string format, object arg0, StringBuilder where)
        {
            where.AppendFormat(format,
                ((string)arg0)
                .ToLower()
                .Replace("update", "")
                .Replace("delete", "")
                .Replace("select", "")
                .Replace("insert", "")
                .Replace("from", "")
                .Replace("or", "")
                .Replace("'", "")
                .Replace("@", "")
                .Trim()
             );
            return where;
        }
    }
}

2、讲这个扩展方法写成公有静态的,然后 每次new StringBuilder 拼接Sql语句的时候就可以调用。下面调用案例(用的petapoco的Page分页列表)

 public static Page<UserInfo> GetList(Page<UserInfo> model, int myUserId = 0, int currentPage = 1)
        {
            Page<UserInfo> u = new Page<UserInfo>();
            using (DataAccess.Database db = new DataAccess.Database())
            {
                StringBuilder sql = new StringBuilder().Append(" select * from UserInfo where 1=1");
                if (model.Item != null)
                {
                    if (!string.IsNullOrEmpty(model.Item.RealName))
                    {
                        sql.AppendFormatWithSafe(" and RealName like '%{0}%'", model.Item.RealName, sql);
                    }
                  
                }
                if (!string.IsNullOrEmpty(model.orderby))
                {
                    sql.AppendFormat(" order by {0}", model.orderby);
                }
                u = db.Page<UserInfo>(currentPage, CodeConfig.ItemsPerPage, sql.ToString(), myUserId);
            }
            return u;
        }

总结:

  这样就不用担心用户输入查询条件的是带有特殊字符,如( @‘ ),可以做到防止Sql注入。

转载于:https://www.cnblogs.com/lbjcoder/p/8341600.html

weixin_30485799
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL工具(自动生成StringBuilder sb=new StringBuilder())
12-22
自动生成如下格式的SQL语句;很方便哦! StringBuilder sb=new StringBuilder(); sb.Append("SELECT * FROM Table \n"); sb.Append("WHERE A="B" \n"); return sb.ToString();
如何有效的防止SQL连接字符串注入
hwy00的专栏
11-06 1197
 概念:在编写安全代码时,最重要的规则之一就是“绝对不要盲目的相信用户的输入”。利用ADO.NET 2.0的SqlConnectionStringBuilder类生成数据库连接字符串,它可以有效的防止SQL连接字符串恶意注入”,因为这个类是专门为SQL SERVER设计的所以;它兼容旧式关键字。关于如何使用SqlConnectionStringBuilder类,请参考我以前写的一篇“智能数据
如何防止SQL注入攻击
shenxiuwen1989的专栏
03-12 2636
如何防止SQL注入攻击            一、什么是SQL注入式攻击?   所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个A
防止sql注入
thecityofsky的专栏
06-15 717
今天在论坛上看到一篇防止sql注入的讨论;我对这方面也不是很了解,所以就整理下别人发的代码。一般用的sql防止注入的是那种过滤关键字和替换字符public static string CleanString(string inputString) { StringBuilder retVal = new StringBuilder();
sql 拼接 防止注入
包子大叔的笔记
10-18 1703
[code="java"] 1 尽量用统一替换,好处很多 //创建insert语句 private List GetInsertSqlFromListPA_SD(List list) { List sqlList = new List(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product...
sql注入
弱水三千 只取一韶
03-08 1715
SQL注入入门详解 =============安全性篇目录==============   毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。 (对于sql注入的攻,我只用过简单拼接字符串的注入及参数化查询,可
Sql语句用string.Format格式化
weixin_30242907的博客
10-23 2201
string strSql = string.Format(@"Select * from tb1 where UserName={0}", username);不能防止Sql注入,但是比拼接字符串节约内存,简洁直观 转载于:https://www.cnblogs.com/dennys/p/3385116.html...
SpringBoot中Post请求参数过滤SQL防止注入
cszzl123的博客
09-15 784
【代码】SpringBoot中Post请求参数过滤SQL防止注入
sql特殊字符转义处理,防止注入
weixin_34217773的博客
11-25 2576
2019独角兽企业重金招聘Python工程师标准>>> ...
用数据源的hibernate 拼接insert SQL 语句
xing_kong_xiongmao的博客
01-16 5801
关于hibernate 的拼接sql语句在网上查了很多,但关于insert的确不是很多,将这些记录下来。 在插入语句的时候: // 此SQL语句数据库字段类型而定,两种方式前面为NUMBER类型,后面为字符串类型 String sql ="INSERT INTO TABLE"+"(PARAM1,PARAM2) VALUES("PARAM1",'"+PARAM2+"')"; 在插入语句的时
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
sql语句转为javaStringBuilder
03-13
先在navicat之类的工具格式化sql!!!!! sql语句写完之后转为美观的java,在sql语句很长了之后有点麻烦。 其实代码逻辑简单,但是有一点就是有时候没时间来写,所以附上源代码和可执行的jar文件
C#使用带like的sql语句sql注入的方法
12-31
一般采用带like的SQL语句进行简单的拼接字符串时,需要开率遇到sql注入的情况。这确实是个需要注意的问题。 这里结合一些查阅的资料做了初步的整理。 如这样一个sql语句: select * from game where gamename like ...
C# SQL语句互转StringBuilder程序及源码
11-05
用于快速将sql字符串语句互转成C# StringBuilder字符串
sql语句StringBuilder buffer
01-16
sql语句转成 StringBuffer 的构造器会创建
asp.net 分页sql语句(结合aspnetpager)
01-20
数据库操作类: 代码如下:/// <summary> /// 取得总数 /// </summary> /// <returns></returns> public string getTotal() { StringBuilder sb = new StringBuilder(); sb.Append(“select count(*) total from Test...
链表刷题集
yajunjiao的专栏
04-30 507
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1389
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1107
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
java 动态拼接sql 语句 圆括号
07-26
首先,我们需要定义一个StringBuilder对象,用于拼接SQL语句。接着,根据用户的输入,我们可以使用条件语句来动态拼接SQL语句。 以下是示例代码: ```java StringBuilder sqlBuilder = new StringBuilder("SELECT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值