参数化命令相关知识点之==================防止SQl的注入

最新推荐文章于 2023-01-13 14:00:00 发布
最新推荐文章于 2023-01-13 14:00:00 发布
阅读量56 收藏
点赞数
文章标签: c#
原文链接:http://www.cnblogs.com/yejiaojiao/p/5387329.html
版权 
一: 使用参数化命令查询DAL类:
 public DataTable StudentDAL(string name,string gender)
 {
 string str="连接字符串";
//使用Using的稀少资源的释放
using(sqlconnection con=new sqlconnection(str))
 {
 string sql="select * from stdent where studentName=@name and Gender=@gender";

 sqlcommand com=new sqlcommand();
 sqlparameter[] par=
 {
 new sqlparameter=("@name",name),
 new sqlparameter=("@gender",gender); 
};
 com.parameters.addRange(par); 

sqldataadapter da=new sqldataadapter(com);

 dataset dt=new dataset();
 da.Fill(dt);
 return dt.Tables[0];
 } 
}

 

二:在C#中调用带输入参数的存储过程
 
--创建存储过程
 create proc usp_selectStudent
 @studentName nvarchar(10)
 as
 select * froom student where StudentName=@studentNanme
 go
 
DAL类
 public DataTable GetStudentInFo(string name)
 {
 string str="连接字符串"; 
using(sqlconnection con=new sqlconnection(str))
 { 
string sql="usp_selectStudent"; 

sqldataadapter da=new sqldataadapter(sql,con);
 sqlcommand com=da.selectcommand;
 //指定字符串为存储过程
com.CommandType=CommandType.StoredProcedure;
 sqlparameter par=new sqlparameter=("@name",name);
 com.parameter.add(par);
 dataset dt=new dataset();
 da.Fill(dt);
 return dt.Tables[0];

 } 
}
三: 在C#中调用带输出参数的存储过程
 
--创建存储过程
 create proc usp_selectstudentCount
 @name nvarchar(10)
 @Gender nvarchar(10) output
 as
 select @Gender=count(*) from student where studentName=@name;
 select * froom student where studentName=@name;
 go
 
DAL类
 public DataTable GetStudentCount(string name,string Gender)
 {
 string str="连接字符串"; 
using(sqlconnection con=new sqlconnection(str))
 { 
string usp_selectstudentCount
 sqldataadapter da=new sqldataadapter(sql,con);
 sqlcommand com=da.selectCommand;

 com.CommandType=CommandType.StoredProcedure;
 sqlparameter [] pa=
 {
 new sqlparameter("@name",name),
 //设置为输出参数
new sqlparameter("@Gender",sqlDbType.nvarchar,10)
 }
 //设置最后一个参数的输出 方向
pa[pa.length-1].Direction=ParameterDiraction.OutPut;
 
com.parameter.addRange(pa);
 string count=pa[pa.length-1].value.toString();
 dataset dt=new dataset();
 da.Fill(dt);
 return Table dt.Table[0];
 } 
}

 补充一下Using的语法:

using (类型 对象名 = new 类型(参数列表))
{
    //……
    //……
}

 

参数化命令— SqlParameter

 

   

转载于:https://www.cnblogs.com/yejiaojiao/p/5387329.html

weixin_30809173
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL参数化防止SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
参数化SQL注入
12-13 123
现在防止SQL注入最常用的方法基本上就是参数化条件了。 原理是因为用这种方式处理时,数据库服务器会先编译传入的SQL语句,而不把参数代入。编译完成后再把参数替换。所以你的注入是无法被执行的。 比如用PHP实现。 1.mysql_query类型函数实现 $query = sprintf('select * from book where id = "%s"', '33'...
参数化命令防止SQL注入
初学者
03-19 2631
1. 参数化命令相关知识点:(防止SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
参数化查询为什么能够防止SQL注入
weixin_30646315的博客
06-12 578
多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 首先:我们要了解SQL收到一个指令后所做的事情: 在这里,简单的表示为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 具体可能有点不一样,但大致的步骤如上所示。 接着我们来分析为什么拼接SQL 字符串...
参数化登陆防止SQL注入攻击
blacop的博客
11-12 441
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Data
HTTP API接口应当具备的功能 1. 身份认证=hash签名 2. 加密 3. ip白名单 4. 限流 5. 参数校验 6
03-24
例如,检查必填字段、数据类型、长度限制等,防止SQL注入或跨站脚本攻击。 6. **统一返回值**: 统一的返回值结构使API的使用更加直观和一致,通常包含状态码、消息和数据。这样,调用者可以根据固定的模式解析...
防止SQL注入式攻击
08-11
2. **参数化查询/预编译语句**:这是防止SQL注入的最有效方法之一。通过使用参数化查询,输入的数据被作为参数处理,而不是作为查询的一部分,从而避免了SQL代码被执行的可能性。例如,在.NET中,可以使用SqlCommand...
sql注入之手工注入示例详解
09-10
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的参数直接构造SQL查询语句时。手工注入是指不依赖自动化工具,而是通过手动构造和尝试不同的SQL语句来探测和利用这种漏洞。本文将深入讲解如何进行...
【ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
05-20
ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...
php防止sql注入示例分析和几种常见攻击正则表达式
12-19
以下是对标题和描述中涉及的知识点的详细说明: 1. **自定义错误处理**: 在提供的代码中,`customError` 函数被用来替代PHP的默认错误处理机制。当发生错误时,这个函数会显示一个包含错误编号、行号和文件名的...
参数化查询语句防止SQL注入
李公子的博客
09-15 2190
1.什么是SQL注入,为什么要防止SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
SQL注入参数化查询
09-20 3411
在做机房收费系统的时候,曾经利用过传递参数的形式来将值传递给SQL语句或者存储过程,因为这样可以通过参数化的查询来帮助抵御“SQL 注入”式攻击,这种攻击者会将命令插入SQL语句,从而危机服务器的安全。 SqlParameter Param = new SqlParameter("@CourseID", 4);   这样可以从一定程度上来抵御SQL注入,但做的还不是很好,细心的话,你会
sql注入防止SQL注入参数化处理
weixin_30621711的博客
11-25 204
sql注入的两种情况: 操作代码: import pymysql user = input('用户名: ').strip() pwd = input('密码: ').strip() # 链接 conn = pymysql.connect(host='localhost', user='root', password='123', database='db1', charse...
参数化 SQL防止注入的原理
Bingo
03-25 2237
转载:http://bbs.csdn.net/topics/390667952基本的注入方式注入的思想就是构造非法的sql语句。 string sql="select * from tb where username='" + username + "'"; 现在如果,我大概知道你的管理员表的表名是 admins, 我要往里面加一条记录,或者清空你的管理员表, 针对于上面一条语句, 我需要构造的
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6515
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 785
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
C# 使用参数化SQL语句
热门推荐
我的编程世界
02-13 1万+
之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢? 登录成功后,显示的主窗体,如下图: 这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体例
参数化查询,防止SQL注入
cc1179877179的博客
08-04 772
//第一种参数化查询 //SqlParameter spName = new SqlParameter("@name", Name); //cmd.Parameters.Add(spName); //SqlParameter spPwd = new SqlParameter("...
int id = this.getEntityManager().createNativeQuery(sb.toString()).executeUpdate();这条语句有什么问题吗
最新发布
06-09
1. 使用原生 SQL 查询需要注意 SQL 注入漏洞,建议使用参数化查询来避免这个问题。 2. executeUpdate 方法通常用于执行更新操作,例如插入、更新或删除记录等。如果你希望执行查询操作并返回查询结果,应该使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值