sql server 防 注入

最新推荐文章于 2021-02-03 21:30:03 发布
最新推荐文章于 2021-02-03 21:30:03 发布
阅读量119 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/whatarey/p/10192960.html
版权

这里使用的是参数化

 

SqlParameter useremail = new SqlParameter("@useremail", user.user_Email);
SqlParameter pwd = new SqlParameter("@pwd", user.user_pwd);
SqlParameter type = new SqlParameter("@type", user.user_Type);
SqlParameter phone = new SqlParameter("@phone", user.user_phone);
SqlParameter username = new SqlParameter("@username", user.user_phone);
SqlCommand cmd = new SqlCommand(sql, conn);
conn.Open();
cmd.Parameters.Add(useremail);
cmd.Parameters.Add(pwd);
cmd.Parameters.Add(type);
cmd.Parameters.Add(phone);
cmd.Parameters.Add(username);
int count = cmd.ExecuteNonQuery();
conn.Close();
return count;


添加使用这段代码
 SqlParameter pages = new SqlParameter("@pages",page);
            SqlParameter rowss = new SqlParameter("@rows",rows);
            SqlDataAdapter dat = new SqlDataAdapter(sql, conn);
            conn.Open();
            dat.SelectCommand.Parameters.Add(pages);
            dat.SelectCommand.Parameters.Add(rowss);
            DataSet ds = new DataSet();
            dat.Fill(ds);
            conn.Close();
            return ds;

查询使用这段代码

 

 string conText = "server=.;uid=sa;pwd=123456;database=ars";
            using (SqlConnection con = new SqlConnection(conText))
            {
                using (SqlCommand cmd = con.CreateCommand())
                {
                    con.Open();
                    cmd.CommandText= "select sName from student where sId = @sid and sMajor = @sMajor and sPassword = @sPassword";
                    //构造参数数组parameters
                    SqlParameter[] parameters = {new SqlParameter("@sid",20160001),
                                                new SqlParameter("@smajor",1101),
                                                new SqlParameter("@spassword",123456) };
                    cmd.Parameters.AddRange(parameters);
                    cmd.ExecuteNonQuery();
                }
            }

添加也可以使用这个

 

继续对比

SqlParameter
 sp = new SqlParameter("@name","Pudding");
cmd.Parameters.Add(sp);
sp
 = new SqlParameter("@ID","1");
cmd.Parameters.Add(sp);

-----------------------------------
SqlParameter[]
 paras = new SqlParameter[]
 { new SqlParameter("@name","Pudding"),new SqlParameter("@ID","1")
 };
cmd.Parameters.AddRange(paras);


这样子还是第二种写数组的方便

 

转载于:https://www.cnblogs.com/whatarey/p/10192960.html

weixin_30793643
关注
sql注入
wangdaxu332的专栏
03-26 3770
常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOS限于篇幅,本篇只讨论SQL注入攻击的技巧与范。SQL注入常见攻击技巧SQL注入攻击是Web安全史上的一个重要里程碑,它从1999年首次进入人们的视线,至今已经有十几年的历史了,虽然我们现在已经...
SQL server注入
weixin_45958861的博客
09-20 1591
较为复杂 一般不用手工 用工具 1.注入语句 ①*判断数据库类型 and exists (select * from sysobjects)–返回正常为mssql(也名sql server) and exists (select count() from sysobjects)–有时上面那个语句不行就试试这个哈 ②判断数据库版本 and 1=@@version–这个语句要在有回显的模式下才可以哦 and substring((select @@version),22,4)=‘2008’–适用
SQL参数化-SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入
SQL Server网站注入终极解决方案
weixin_34176694的博客
08-27 176
【说明】这篇文章发表在2009年第16期《网管员世界》上,介绍了通过“分离”网站与使用不同权限SQL Server用户的方法,解决政府网站(以及类似网站)被注入、修改的问题。而更加详细的介绍,是在正在写作的一本《中小企业虚拟机解决方案大全》(暂命名)中的一个案例的一部分,敬请期待! 根据国家互联网应急中心的统计,截止2009年1月,有20%以上的政府网站被******过。许多政府网站,由于开通网...
SQL注入简介
民兵的家园
02-28 1253
 无云 发表于 2005-4-11 15:16:00 SQL注入简介 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码, (一般是在浏览器地址栏进行,通过正常的www端口访问) 根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入思路 思路最重要,其实好多人都不知道SQ
SQL Server注入大全及
网络 人生 学习 进步
09-17 1437
  SQL Server是中小型网站广泛使用的数据库,由于功能强大也滋生了很多安全问题,国内又因为SQL注入攻击的很长一段时间流行,导致对SQL Server的入侵技巧也层出不穷,由于SQL Server支持多语句,相信很多小黑在对SQL Server进去SQL注入的时候很少使用猜解表名之类的方法,而直接转向使用SQL Server的存储过程和函数快速的拿权限,下面我就围绕SQL Server的系
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全... C#SQL注入方法一  在Web.config文件中
C#SQL注入
09-17
C#SQL注入 C#SQL注入是指在C#程序中防止SQL注入攻击的方法。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中.inject恶意SQL代码,来访问、修改或删除数据库中的数据。为了防止SQL注入,C#...
在IIS SQL Server中利用ISAPI ReWriteSQL注入攻击.pdf
09-19
吴长虹在其论文《在IIS+SQL Server中利用ISAPI RewriteSQL注入攻击》中,提出了一种有效的方法来应对这一挑战。这种方法主要是利用IIS的ISAPI(Internet Server Application Programming Interface)过滤器进行...
如何防止sql注入【转载】
10-08
简单的放置sql注入的文档,转载的,希望可以彼此帮助。
六个建议防止SQL注入式攻击
06-30
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。
C#使用带like的sql语句时sql注入的方法
09-04
在C#编程中,SQL注入是一种常见的安全威胁,它允许恶意用户通过输入恶意构造的SQL语句来操纵数据库。在处理包含`LIKE`操作符的SQL查询时,SQL注入显得尤为重要,因为这类查询通常涉及用户提供的搜索关键词。本文...
sql.rar_SQL注入_asp 注入_sql注入_
最新发布
09-22
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库系统,获取敏感信息,甚至破坏整个数据库。在这个“sql.rar”压缩包中,我们重点关注的是如何防止这种攻击,尤其是针对ASP(Active...
sql 注入
springsunss的博客
07-10 678
sql 注入问题:先使用PHP自带的函数bin2hex函数将输入待查询字符串处理成16进制字符串,然后再SQL执行过程中使用数据库本身的unhex函数将该16进制字符串反转为原先的正常字符串。
SQL Server 2000 注入护大全
lxu的专栏
05-22 1189
SQL Server 2000 注入护大全(一)Sql注入早源于or1=1最重要的表名:select * from sysobjectssysobjects ncsysobjectssysindexes tsysindexessyscolumnssystypessysuserssysdatabasessysxloginssysprocesses  最重要的一些用户名(
sqlserversql注入范&参数化sql
火焰
02-03 2367
环境: sqlserver2008及以上 .net core 3.1 sql注入本质: 接收用户输入的字符串并且将字符串拼接成sql语句执行。由于用户的故意的输入,打断了原来的sql结构。 --正常语句 select * from sysuser where username='admin' and pwd='123456' --被注入的语句(用户输入的用户名是【admin' --】,密码还是123456) select * from syssuer where username='admin' --'
SQL注入大全——史上最全的 SQL 注入资料
fguyfff的博客
11-13 451
SQL注入大全——史上最全的 SQL 注入资料
SQL Server注入攻击
huobengluantiao8
08-08 233
SQL 注入式攻击是指利用设计上的漏洞攻击系统,如果动态生成SQL 语句时没有对用户输入的数据进行过滤,便会使SQL 注入攻击得逞. 例如: 用下面的SQL 语句判断用户名和密码: txtSQL = "select * from user_Info where user_ID = '" &txtusername.text & "'and 密码='"+txtpassword....
微软SQL Server 注入攻击技术详解
SQL Server 注入攻击 SQL Server 注入攻击是一种常见的 Web 应用安全漏洞,攻击者可以通过在 Web 应用程序的输入参数中注入恶意 SQL 语句,以达到非法访问或控制数据库的目的。 **什么是 SQL Server 注入攻击?** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值