参数化SQL语句一定程度上防止SQL注入

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量123 收藏
点赞数
原文链接:http://www.cnblogs.com/renjuwht/archive/2009/07/17/1525930.html
版权

  public bool InsertAdmin(string userName, string password, string remark, string mail, int departId, int power)ÆïǾLâ½íwww.netcsharp.cnQfòç=û\
    {
        string sql = "insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power)";
        SqlConnection connection = new SqlConnection();
        connection.ConnectionString = "";//此处设置链接字符串
        SqlCommand command = new SqlCommand(sql, connection);
        command.Parameters.Add("@UserName",SqlDbType.NVarChar, 60).Value = userName;       

        command.Parameters.Add("@Password", SqlDbType.NVarChar, 60).Value = password;
        command.Parameters.Add("@Remark", SqlDbType.NVarChar, 60).Value = remark;
        command.Parameters.Add("@Mail", SqlDbType.NVarChar, 60).Value = mail;       

        command.Parameters.Add("@DepartId", SqlDbType.Int, 4).Value = departId;
        command.Parameters.Add("@Power", SqlDbType.Int, 4).Value = power;     

        connection.Open();
        int rowsAffected = command.ExecuteNonQuery();        connection.Close();        command.Dispose();
        return rowsAffected > 0;
    }
}

转载于:https://www.cnblogs.com/renjuwht/archive/2009/07/17/1525930.html

weixin_30730053
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
参数化查询----防止SQL注入
做一枚优雅的IT女
08-15 1876
20:50 一、SQL注入的定义 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 二、SQL注入的原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数
一文分析SQL参数化查询为何能防止SQL注入
我的博客,不一样的自我表达
03-26 262
4、预处理 SQL 是如何防止 SQL 注入的待执行的 SQL 被编译后存放在缓存池中,DB 执行 execute 的时候,并不会再去编译一次,而是找到 SQL 模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。– 预处理编译 SQL ,会占用资源set@a@a;– 使用 DEALLOCATE PREPARE 释放资源。
sql注入(三)绕过方法及防御手段
最新发布
wangluoanquan111的博客
04-20 1181
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6481
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
SQL注入绕过 单引号 限制继续注入
01-02
包括我写的那篇《SQL Injection的实现与应用》也是这样的例子,因为没有碰到任何的过滤,所以使我们相当轻松就注入成功了,如下: 代码如下: //www.jb51.net/show.asp?id=1;exec master.dbo.xp_cmdshell ‘net user angel pass /add’;– 这往往给大家造成误解,认为只要变量过滤了’就可以防止SQL Injection攻击,这种意识为大量程序可以注入埋下祸根,其实仅仅过滤’是不够的,在’被过滤的情况下我们照样玩,看下面语句: 代码如下: //www.jb51.net/show.asp?id=1;declare%
SQL注入 生成参数化的通用分页查询语句
01-01
但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写...
如何用参数化SQL语句污染你的计划缓存
12-14
总结来说,使用参数化SQL语句是避免SQL注入和提高性能的有效手段,但必须谨慎处理参数的类型和长度。在ADO.NET中,避免使用`AddWithValue`方法,而是直接使用`SqlParameter`来明确定义数据类型和长度,以防止计划...
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
更推荐使用预编译的SQL语句(如PDO的预处理语句)或者参数化查询,这样可以确保用户输入的数据不会被解释为SQL命令的一部分。 预编译的SQL语句将SQL结构与参数分离,使得即使用户输入了恶意的SQL代码,也会被视为...
stringbuffer拼出SQL语句,避免加号带来的引号冲突
qq_34199125的博客
02-07 1348
/** * 根据表名称创建一张表 * @param tableName */ public int createTable(String tableName){ StringBuffer sb = new StringBuffer(""); sb.append("CREATE TABLE `" + tableName + "` ("); sb.append("`id` int(11)
SQL黑客注入防御与绕过的多种姿势
sinat_38899493的博客
12-22 2400
一、 PHP几种防御姿势 1. 关闭错误提示 说明: PHP配置文件php.ini中的display_errors=Off,这样就关闭了错误提示。 2. 魔术引号 说明: 当php.ini里的magic_quotes_gpc=On时。提交的变量中所有的单引号(')、双引号(")、反斜线()与 NUL(NULL 字符)会自动转为含有反斜线的转义字符。 魔术引号(Magic Quote)
sql注入绕过方法总结
热门推荐
test
10-10 4万+
前言 sql注入的原因,表面上说是因为拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量;但是更深层次的原因是,数据库将用户输入的字符串,当成了 “sql语句” 来执行。 简而言之:用户输入的数据变成了代码被执行 string sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符...
java 防止sql xxs注入,StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_39659748的博客
03-19 702
StringEscapeUtils类可以对html js xml sql 等代码进行转义来防止SQL注入及XSS注入一、增加pomcommons-langcommons-lang2.6二、简单使用1.html脚本escapeHtml转义html脚本unescapeHtml反转义html脚本System.out.println(StringEscapeUtils.escapeHtml("abc")...
SQL语句查询时防止SQL语句注入的方法之一
游海东的技术专栏
02-12 2578
1、传参时有可能出现SQL语句注入 StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.append("and t.area_code = '").append(areaCode).append("' "); } SQLQuery query = getSession().crea
StringEscapeUtils的常用使用,防止SQL注入及XSS注入
小狮王的专栏
10-20 2万+
引入common-lang-2.4.jar中 一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能 官方参考文档 StringEscapeUtils.unescapeHtml(sname) 1.escapeSql 提供sql转移功能,防止sql注入攻击, 例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffe
SQL注入的处理
蜗牛程序员
01-10 457
1. import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang.StringUtils;   /*    * 去掉请求中的js、html、style、等字符,防止xss攻击    * add by hanminqiang 2015-07-28 18
防止SQL注入的五种方法
路漫漫~
05-09 4万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。     SQL注入是比较常见的
SQL语句如何防止注入
06-05
1. 使用参数化查询:参数化查询可以防止SQL注入攻击,它将用户提供的数据作为参数传递给数据库,而不是直接拼接到SQL语句中。 2. 对用户输入进行过滤:可以使用正则表达式或者其他过滤器来验证用户输入的数据是否...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值