c# 如何有效的防止符号为'的sql注入

最新推荐文章于 2023-09-13 08:33:55 发布
最新推荐文章于 2023-09-13 08:33:55 发布
阅读量121 收藏 1
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/cplvfx/articles/10452585.html
版权 
 1    /// <summary>
 2         /// 登录功能
 3         /// </summary>
 4         /// <param name="model"></param>
 5         /// <returns></returns>
 6         public UserInfoModel Login(UserInfoModel model)
 7         {
 8             UserInfoModel userInfoModel = null;
 9             string sql = @"select UserName, Password from UserInfos
10                            where UserName=@UserName and Password=@Password";
11             SqlParameter[] paras =
12                 {
13                 new SqlParameter("@UserName",model.UserName),
14                  new SqlParameter("@Password",model.Password)
15              };
16             DataRow row = DBHelper.GetDataRow(sql, paras);
17             if (row != null)
18             {
19                 userInfoModel = new UserInfoModel();
20                 userInfoModel.UserName = row["UserName"].ToString();
21                 userInfoModel.Password = row["Password"].ToString();
22             }
23             return userInfoModel;//true  false
24         }

 

 1      public static DataRow GetDataRow(string sql, params SqlParameter[] paras)
 2         {
 3             DataTable dt = null;
 4             using (SqlConnection conn = new SqlConnection(ConnStr))
 5             {
 6                 SqlCommand command = new SqlCommand(sql, conn);
 7                 command.Parameters.AddRange(paras);
 8                 SqlDataAdapter adapter = new SqlDataAdapter(command);
 9                 dt = new DataTable();
10                 adapter.Fill(dt);
11             }
12             if (dt.Rows.Count > 0)
13                 return dt.Rows[0];
14             else
15                 return null;
16         }

 

这里为了避免符号为'的sql注入,加了下面的代码

1  string sql = @"select UserName, Password from UserInfos
2                            where UserName=@UserName and Password=@Password";
3             SqlParameter[] paras =
4                 {
5                 new SqlParameter("@UserName",model.UserName),
6                  new SqlParameter("@Password",model.Password)
7              };

让重要的参数变成数组,符号'也就跟着变成了正常的字符串

 

 

操作数据库的时候让command.Parameters.AddRange去执行,这时候重要参数就变成了正常的字符串,不会影响我们的sql语句了

1      SqlCommand command = new SqlCommand(sql, conn);
2                 command.Parameters.AddRange(paras);

 

转载于:https://www.cnblogs.com/cplvfx/articles/10452585.html

weixin_30621919
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#实现过滤sql特殊字符的方法集合
09-03
C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
关于SQL server 插入数据语言和特殊字符的处理
weixin_30672295的博客
07-13 849
问题描述:  当插入或者是修改数据,当插入(修改)的字段中存在(韩文,日文)或者其他字符,出现插入的字符变成了乱码或者是成堆的问号。 解决方法:  在Microsoft SQL Server中,以下数据类型支持Unicode数据: nchar, nvarchar, ntext 使用SQL语句操作的候应该注意以下问题: 原查询语句 Select * FromTABLE...
mysql 禁止转义_必须转义哪些字符才能阻止(我的)SQL注入
weixin_35156503的博客
01-19 1601
6 个答案:答案 0 :(得分:46)关于退格字符的猜测:想象一下,我发送了一封电子邮件“嗨,这是根据需要更新数据库的查询”和带有的附加文本文件INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);你捕获文件,看到它没关系,然后将文件传输到MySQL。然而,你不知道的是我把DROP TABLE students;\b\b\b\b\b\b...
2020-10-10
不二的博客
10-10 979
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
sql注入漏洞
qz362228的博客
08-11 2588
sql注入漏洞原理,类型,防御方式,绕过技巧
c#.net全站防止SQL注入类的代码(转)
最新发布
hackmir的专栏
09-13 351
当前请求的 Response 对象/// 当前请求的 Response 对象
C# ADO读写SQL Server数据库
04-09
6. **参数化查询**:为了避免SQL注入攻击,应始终使用参数化查询。在SqlCommand中添加参数,使用@符号开头,然后在Execute方法中传递参数值。 7. **错误处理**:在执行任何数据库操作,都应捕获SqlException异常...
JS和C#分别防注入代码
10-30
)、逗号(,)、冒号(:)、连接号(-)等符号,如果未经处理直接嵌入到SQL语句中,可能会被利用来进行SQL注入。 在JS代码示例中,使用了正则表达式来检测URL参数中是否存在一些危险的关键字,如“select”, “insert”, ...
C#调用SQL语句乘号的用法
09-04
1. **防止SQL注入**:在构造SQL语句,应避免直接将用户输入的值拼接到SQL字符串中,因为这可能导致SQL注入攻击。建议使用参数化查询或存储过程来确保安全性。 2. **使用ORM框架**:像Entity Framework这样的对象...
c#访问sql server2008
08-22
为了防止SQL注入攻击,应使用参数化查询。通过SqlCommand的Parameters属性添加参数,并使用@符号定义参数名: ```csharp string query = "SELECT * FROM TableName WHERE Column1 = @param1"; command.Parameters....
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
防止SQL注入式攻击
08-11
防止SQL注入式攻击例程序,可以参考学习使用。。。。。。。。。。。
C#SQL注入
09-17
C#SQL注入,主要是程序上有漏洞, 尽可能全的过滤SQL敏感的语句, 先把数据库里面注入的代码替换掉
C# 对于SQL注入的防范
Blocksom的专栏
08-22 1455
其实对已sqlserver,最彻底的防SQL注入的方式就是对每个数据库设定一个用户,而对这个用户设置具体的权限,不过比较麻烦。 一、在对Get方法传参的候; 如果是整型的参数:用 try{ int para = int.Parse(Request.QueryString["id"].ToString()); }catch(Exception ex){ } 如果是字符串的参数
防止sql注入的方法(替换敏感关键字)
weixin_40029679的博客
12-09 780
public static string FilterSql(string s) { if (string.IsNullOrEmpty(s)) return string.Empty; s = s.Trim().ToLower(); s = ClearScript(s); s = s.Replace("=", ""); s = s.Replace("'", ""); s = s.Replace(";",.
C#SQL注入过滤危险字符信息
文佳铭的博客
04-18 1622
C#SQL注入过滤危险字符信息 public static string ReplaceSQLChar(string str) { if (str == String.Empty) return String.Empty; str = str.Replace("'", ""); ...
过滤网址和输入框中的特殊字符,防止sql注入C#版)
Jaylon Wang的专栏
09-18 4618
sql注入不必在每个页面都写验证了,下面方面便可以一劳永逸。     [c-sharp] view plaincopy using System;   using System.Data;   using System.Configuration;   using System.Web;   using System.Web.Sec
c# .net 正则表达式验证sql非法字符串,防止sql注入
mcsoft_lzm的专栏
10-26 3194
老铁,就一句代码 Regex.IsMatch(sWord.ToLower(), "/response|group_concat|cmd|sysdate|xor|declare|db_name|char| and| or|truncate| asc| desc|drop |table|count|from|select|insert|update|delete|union|into|load_fi...
C# .NET SQL注入防御类实现
该资源提供了一个C# .NET类`SqlChecker`,用于全站防止SQL注入攻击。类中包含了对HTTP请求和响应的处理,以及对可能的SQL关键字和特殊符号的检查。 在Web开发中,SQL注入是一种常见的安全威胁,攻击者可以通过输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值