不要相信使用Parameter安全调用分页存贮过程会没有SQL注入

最新推荐文章于 2021-07-21 11:33:05 发布
最新推荐文章于 2021-07-21 11:33:05 发布
阅读量121 收藏 1
点赞数
原文链接:http://www.cnblogs.com/livexy/archive/2010/07/09/1774636.html
版权

不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:

 

如:

 

 
  
 
       DbParameter[] dbParams  
   = 
    {
 Data.MakeInParam( 
   " 
   @PageIndex 
   " 
   , (DbType)SqlDbType.Int,  
   4 
   , pageIndex),
 Data.MakeInParam( 
   " 
   @PageSize 
   " 
   , (DbType)SqlDbType.Int,  
   4 
   , pageSize),
 Data.MakeInParam( 
   " 
   @Tables 
   " 
   , (DbType)SqlDbType.NVarChar,  
   1000 
   , tableName),
 Data.MakeInParam( 
   " 
   @Fields 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   , fieldList),
 Data.MakeInParam( 
   " 
   @Where 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   ,  
   where 
   ),
 Data.MakeInParam( 
   " 
   @GroupBy 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   , groupBy),
 Data.MakeInParam( 
   " 
   @OrderBy 
   " 
   , (DbType)SqlDbType.NVarChar,  
   1000 
   , orderBy),
 Data.MakeOutParam( 
   " 
   @ReturnCount 
   " 
   , (DbType)SqlDbType.Int, totalRecords),
 };
 list  
   = 
    Data.GetDbDataReader( 
   " 
   getPagerROWOVER 
   " 
   , dbParams).ToList 
   < 
   TResult 
   > 
   ();

 
  
 
 
 
 
 
 
 
 
 
 
 
 
 
这种调用也存在SQL注入.
 
 
 
 
 
我想查询News表中Title存在"博客园"的文章:
 
 
PageIndex = 1
 
 
PageSize = 20
 
 
Tables = "News"
 
 
Fields = "*"
 
 
Where = "Title like '%博客园%'"
 
 
GroupBy = ""
 
 
OrderBy = "NewsID Desc"
 
 
这种写法是正确的。
 
 
当用户输入“''%' or 1=1;--” 一样存在SQL注入。
 
 
 
 
 
当拼接Where值的时候取到文本框的值一定也要过滤非法字符。
 
 
SQL会自动组合成:
 
 
select * from News where Title like '%博客园%' 正确
 
 
select * from News where Title like '''%''''''%''' or 1=1;--%'' 存在注入
 
 
 
 
 
 

 

转载于:https://www.cnblogs.com/livexy/archive/2010/07/09/1774636.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30797199
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Sql Server数据库万能分页存储过程与C# API控制器调用

				
			

			

				

					hgfuyi的博客
				

				

					07-13
					
					268
					
				

			

		

		

			
				
Sql Server数据库万能分页存储过程与C# API控制器调用
打开数据库创建存储过程(表名、字段名、排序字段可以去掉,直接写死)
CREATE PROCEDURE [dbo].[UserInfo_PAGE]
@TableName VARCHAR(50),            --表名
@ReFieldsStr VARCHAR(200) = ‘’,   --字段名(全部字段为)
@OrderString VARCHAR(200),         --排序字段(必须!支持多字段不用加order by)

			
		

	



                

              
                



	

		

			

				
					
asp.net中如何调用sql存储过程实现分页

				
			

			

				

					10-23
				

			

		

		

			
				
在ASP.NET中调用SQL存储过程实现分页是一种常见的数据处理技术,这有助于提高网站的性能,因为它减少了从数据库检索大量数据的需求。以下是一个详细的步骤和示例代码,解释了如何在ASP.NET中进行此操作。  1. **创建...

			
		

	



                


  
              

                


	

		

			

				
					
sqlserver调用mysql存储过程_ASP 调用sqlserver存储过程学习教程

				
			

			

				

					weixin_39581571的博客
				

				

					01-30
					
					189
					
				

			

		

		

			
				
一、我先来来说一说调用存储过程的优点与缺点: 1、SQL语句已经预编绎过了,因此执行效率、性能大大增加。 2、可以接受参数、输出参数、返回单个或多个结果集以及返回。可以向程序返回错误原因。 3、减少网络流量。如:执行插入记录这个功能时只要传输存储过一、我先来来说一说调用存储过程的优点与缺点:1、SQL语句已经预编绎过了,因此执行效率、性能大大增加。2、可以接受参数、输出参数、返回单个或多个结果集以...

			
		

	





	

		

			

				
					
c 调用mysql分页存储过程_通用SQL存储过程分页以及asp.net后台调用的方法

				
			

			

				

					weixin_30827435的博客
				

				

					01-19
					
					87
					
				

			

		

		

			
				
创建表格并添加300万数据use StoredCREATE TABLE UserInfo( --创建表id int IDENTITY(1,1) PRIMARY KEY not null,--添加主键和标识列UserName varchar(50))declare @i int --添加3百万数据,大概4分钟时间set @i=1while @i<3000000begininsert into ...

			
		

	



		

			
		



	

		

			

				
					
net调用MYSQL存储过程实现分页_asp.net中如何调用sql存储过程实现分页

				
			

			

				

					weixin_35998980的博客
				

				

					02-04
					
					143
					
				

			

		

		

			
				
首先看下面的代码创建存储过程1、创建存储过程,语句如下:CREATE PROC P_viewPage@TableName VARCHAR(200), --表名@FieldList VARCHAR(2000), --显示列名,如果是全部字段则为*@PrimaryKey VARCHAR(100), --单一主键或唯一值键@Where VARCHAR(2000), --查询条件 不含'where'字符,...

			
		

	





	

		

			

				
					
c# mysql分页存储过程_Sql Server数据库万能分页存储过程与C# API控制器调用

				
			

			

				

					weixin_32145817的博客
				

				

					01-26
					
					100
					
				

			

		

		

			
				
Sql Server数据库万能分页存储过程与C# API控制器调用打开数据库创建存储过程(表名、字段名、排序字段可以去掉,直接写死)CREATE PROCEDURE [dbo].[UserInfo_PAGE]@TableName VARCHAR(50),            --表名@ReFieldsStr VARCHAR(200) = ‘’,   --字段名(全部字段为)@OrderStrin...

			
		

	





	

		

			

				
					
c#调用mysql分页存储过程_存储过程--分页与C#代码调用

				
			

			

				

					weixin_32445895的博客
				

				

					03-03
					
					126
					
				

			

		

		

			
				
金融论坛http://www.888fin.com/IT精英团http://www.itnpc.com/存储过程:SET ANSI_NULLS ONGOSET QUOTED_IDENTIFIER ONGO-- =============================================-- Author:-- Create date:-- Description:-- =======...

			
		

	





	

		

			

				
					
c# mysql分页存储过程_C#调用SQL Server分页存储过程

				
			

			

				

					weixin_35600835的博客
				

				

					02-23
					
					84
					
				

			

		

		

			
				
以SQL Server2012提供的offset ..rows fetch next ..rows only为例e.g.表名:Tab1----------------------------------IDName1tblAttributeGroupDetail2tblAttributeGroup3tblAttribute.......50tblBRItemTypeAppliesTo51tblBR...

			
		

	





	

		

			

				
					
php调用存储过程实现分页,ADO调用分页查询存储过程的实例讲解_实用技巧

				
			

			

				

					weixin_34952098的博客
				

				

					04-02
					
					94
					
				

			

		

		

			
				
下面小编就为大家分享一篇ADO调用分页查询存储过程的实例讲解,具有很好的参考价值,希望对大家有所帮助让大家更好的使用ADO进行分页。对ADO感兴趣的一起跟随小编过来看看吧一、分页存储过程----------使用存储过程编写一个分页查询-----------------------set nocount off --关闭SqlServer消息--set nocount on --开启SqlServe...

			
		

	





	

		

			

				
					
存储过程分页——单表分页,任意表分页,EF调用分页存储过程

				
			

			

				

					hyx1229的博客
				

				

					07-21
					
					382
					
				

			

		

		

			
				
一、单表分页


if exists(select * from sysobjects where name='proc_movies')
	drop proc proc_movies
go
create proc proc_movies
@pagesize int --每页显示的条数
,@pageindex int  --页码
,@count int output--输出总条数
,@pagecount int output--输出总页数
as
begin	                         

			
		

	





	

		

			

				
					
sqlserver 存储过程分页代码第1/2页

				
			

			

				

					09-11
				

			

		

		

			
				
在SQL Server中,存储过程是预编译的SQL语句集合,可以提高数据库操作的效率和安全性。在处理大量数据时,分页查询是必不可少的,它可以有效地展示数据,而不一次性加载所有记录,减轻服务器负载。本篇将介绍如何...

			
		

	





	

		

			

				
					
sqlserver 存储过程分页(按多条件排序)

				
			

			

				

					09-11
				

			

		

		

			
				
`getPage`方法接收四个输入参数,用于获取总页数(`totalPage`)、总记录数(`rowsCount`)、每页记录数和当前页数,然后创建并填充`SqlParameter`数组,将这些参数传递给存储过程。最后,存储过程的输出参数被用来获取...

			
		

	





	

		

			

				
					
c#调用分页存储过程

				
			

			

				

					01-13
				

			

		

		

			
				
"C#调用分页存储过程"是一个常见的技术实践,它结合了C#编程语言和SQL Server的存储过程来高效地获取数据库中的分页数据。这种方法可以有效地减少网络传输的数据量,提高用户界面的响应速度,尤其是在数据量达到百万...

			
		

	





	

		

			

				
					
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar

				
			

			

				

					07-26
				

			

		

		

			
				
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar

			
		

	





	

		

			

				
					
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)

				
			

			

				

					07-26
				

			

		

		

			
				
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。

			
		

	





	

		

			

				
					
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip

				
			

			

				

					07-26
				

			

		

		

			
				
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战

			
		

	





	

		

			

				
					
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar

				
			

			

				

					07-26
				

			

		

		

			
				
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar

			
		

	





	

		

			

				
					
小程序-光影娱乐带后台(源码).zip

					
最新发布

				
			

			

				

					07-26
				

			

		

		

			
				
小程序-光影娱乐带后台(源码).zip

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值