在C# 中如何让T-SQL 包含敏感的嵌入参数

最新推荐文章于 2022-06-15 18:47:07 发布
最新推荐文章于 2022-06-15 18:47:07 发布
阅读量156 收藏
点赞数
文章标签: c# 数据库
原文链接:https://yq.aliyun.com/articles/388852
版权


在项目需求中,根据用户从文本框输入的表名,查询该表的记录数。初步代码如下:

string sql = "select * from " + txtTableName.Text.Trim(); // txtTableName 是文本框


但这样有可能导致T-SQL注入式攻击,于是更改代码如下:
string sql = "select * from @tb_name";
cmd.Parameters.AddWithValue("@tb_name", txtTableName.Text.Trim());
......

执行,报错!!!
原因应该是:在T-SQL语句中,T-SQL关键字后面不能使用嵌入参数。


百度一番后,唯一值得参考的T-SQL语句,如下:

复制代码
declare @tbl_name varchar ( 50 )
 declare @result int
declare @sql varchar ( 500 )
 set @sql = ' select ' + str ( @result ) + ' =count(*) from ' + @tbl_name
select @result as result
 exec ( @sql )
复制代码


斟酌一番后,根据我的项目需求,编写了如下的T-SQL语句:

复制代码
declare @tb_name varchar ( 50 )
 declare @sql nvarchar ( 500 )
 set @tb_name = ' student ' -- 表名
set @sql = ' select * from ' + @tb_name
exec sp_executesql @sql
复制代码

注意:我这里使用了SQL Server的系统存储过程sp_executesql,详细介绍请查看MSDN。


应用到C#代码中如下:

复制代码
ExpandedBlockStart.gif C#代码
// 拖放两个控件如下:
 // private System.Windows.Forms.Button btnQuery; // “查询按钮”
 // private System.Windows.Forms.TextBox txtTableName; // “表名文本框”

private void btnQuery_Click( object sender, EventArgs e)
 {
 string strCon = " server=.;database=winform;uid=sa;pwd=sa; " ;
 SqlConnection con = new SqlConnection(strCon);

 /* ========================================
 * 原本想实现以下SQL语句:
 * string sql = "select * from @tb_name";
 * ====================================== */
string sql = " declare @sql nvarchar(500) " ;
 sql += " set @sql = 'select count(*) from ' + @tb_name " ;
 sql += " exec sp_executesql @sql " ;

 SqlCommand cmd = new SqlCommand(sql, con);

 // 方法1
cmd.Parameters.Add( " @tb_name " , System.Data.SqlDbType.VarChar);
 cmd.Parameters[ " @tb_name " ].Value = txtTableName.Text.Trim();
 // 方法2
 // cmd.Parameters.AddWithValue("@tb_name", txtTableName.Text.Trim());

/* ========================================
 上面的C#代码相当于如下T-SQL语句:
declare @tbl_name varchar(50)
 set @tbl_name='表名'
 ======================================== */

con.Open();
 string str = cmd.ExecuteScalar().ToString();
 con.Close();
 MessageBox.Show(str); // 显示执行结果
}
复制代码

以上C#代码只供测试使用。




本文转自钢钢博客园博客,原文链接:http://www.cnblogs.com/xugang/archive/2010/06/04/1751340.html,如需转载请自行联系原作者

weixin_33712987
关注
C#与T-SQL 银行转账数据交互设计( 事件,存储过程综合应用)
BowenXu11的博客
03-09 379
设计理念 1.所有数据存储比对和存储过程全部交给服务器端 2.前端只做数据提交和判断结果 后端SQL数据库存储过程 create table bank ( userId int identity primary key not null, userName nvarchar(32) not null, userMoney int null, check(userMoney ...
tsql_TSQL的历史
culuo4781的博客
07-29 1166
tsqlIn this article, we’ll take a look at a brief TSQL history and a few examples of loops, conditionals, and stored procedures 在本文,我们将看一下简短的TSQL历史记录以及一些循环,条件和存储过程的示例 介绍 (Introduction) TSQL a...
C#代码生成器(包括T-sql语句,和实体类代码)
01-07
利用反射技术实现通过实体类生成DLL文件通过发射动态加载技术将实体类加载进来,并且读出所有公共属性转化成T-sql语句,并且还可以通过现有的数据库表动态生成实体类代码!
tsql-parser:用C#语言编写的库,用于解析.NetSQL Server T-SQL脚本
02-06
tsql解析器 C#编写的用于解析.NetSQL Server T-SQL脚本的库 在Nuget上可用, 。 Install-Package TSQL.Parser 当前功能 完整的T-SQL令牌实现。 流式令牌生成器,用于将脚本解析为令牌。 返回字符,注释,标识符,关键字,文字,变量和运算符类型的标记。 处理单行和多行注释。 选择,插入,更新,删除和合并语句解析器。 .Net Framework 4.0+和.Net Core 2.0+兼容。 代码样例 有关简单的代码示例和输出,请参见 。 查看项目的。 类文档 一些可能的当前用途 解析注释。 查找和替换。 脚本验证。
T-SQL 知识点
David
09-28 318
1.删除数据并重置自增种子truncate table TableName2.触发器create trigger [dbo].[TR_People_Change] on [dbo].[People] for INSERT,UPDATE AS BEGIN --新增 if( exists (select 1 from inserted) and not exists(select 1 from dele
C#嵌入SQLite数据库的简单方法
09-03
C#嵌入SQLite数据库是一项实用的技术,尤其对于开发桌面应用或移动应用时需要本地存储数据的情况。SQLite是一款轻量级、独立的关系型数据库管理系统,适用于资源有限的环境,如嵌入式设备,同时也支持多种操作...
c#sql存取图片image示例
09-04
本文主要介绍了在SQL Server数据库使用C#语言存取图片数据的方法。这一技术常用于需要将图片数据存储在数据库并能够从数据库取出并显示的应用场景,例如内容管理系统(CMS)的图片存储和展示功能。下面详细...
C#检测是否有危险字符的SQL字符串过滤方法
09-04
SQL注入是一种常见的黑客攻击手段,通过在用户输入的数据嵌入恶意的SQL语句,来操纵数据库,获取、修改或删除敏感数据。C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符的SQL字符串,...
c#将变量嵌入SQL语句
qingkaqingka的博客
12-18 3285
1、使用 ' " + + " ' 拼接 string mysql = " SELECT Cname,Grade FROM student,score,course WHERE student.Sno = score.Sno and score.Cno = course.Cno and ...
Transact SQL 常用语句以及函数
weixin_30263277的博客
05-20 75
Transact SQL语句功能 ========================================================================   --数据操作   SELECT--从数据库检索数据行和列       INSERT--向数据库表添加新数据行       DELETE--从数据库删除数据行 ...
数据库SQL学习笔记】9.(T-SQL语言)定义变量、高级查询、流程控制(条件、循环等)
takedachia的博客
06-15 600
数据库SQL学习笔记】T-SQL语言:定义变量、高级查询、流程控制(条件、循环等)
c# mysql count_C# 操作SQL Server数据库, ExecuteScalar()方法执行T-SQL语句, COUNT(*), 统计数据...
weixin_39955925的博客
01-26 548
C# 操作SQL Server数据库, ExecuteScalar()方法执行T-SQL语句, COUNT(*), 统计数据--ExecuteNonQuery()对连接执行 Transact-SQL 语句并返回受影响的行数,如果SQL语句是对数据库的记录进行操作(如记录的增加、删除和更新),那么方法将返回操作所影响的记录条数。--ExecuteScalar()执行查询,并返回查询所返回的结果集第...
T-SQL编程
以梦为马 不负韶华
05-30 2320
一、T-SQL编程变量声明、为变量赋值、输出 变量必须赋初值,不然为null,与null计算所得的结果还是null 二、T-SQL的while循环,无for循环 begin......end 相当于C#编程while循环的大括号 三、T-SQLif....else.... 四、计算1-100所有奇数和偶数的和 五、...
sql的include简单使用
湖言的博客
09-13 8153
include在安卓使用很多,常见的就是布局文件,在java操作数据库时,也经常使用,这里简单的介绍一下 在mapper增加 <sql id="column"> id,area_name as areaName, parent_id as parentId,sort, is_leaf as idLeaf,is_deleted as isDeleted </sql...
解决:C#SQL语句包含单引号(')出错
chelen_jak的专栏
03-08 4694
解决方法:      用Replace函数将1个单引号变成2个单引号。      另外,参数前面加“N" (代表以Unicode格式存入数据库), 有效解决某些字符存入数据库变?号问题。StringBuilder sql = new StringBuilder(); -- 拼装SQL语句 sql.AppendLine("insert into mb_guest_mas(ID, name, bir...
C#编程:理解匿名函数在防止SQL注入的应用
为了防止这种情况,应避免在Nginx配置直接构造SQL语句,而是将查询逻辑转移到后端的数据库管理服务(如MySQL、PostgreSQL等),在那里可以利用C#等编程语言提供的强类型和参数化查询功能。 C#提供了强类型系统和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值