ASP.NET防SQL注入方法のParameters属性传参 && LING技术

最新推荐文章于 2021-04-03 20:21:18 发布
最新推荐文章于 2021-04-03 20:21:18 发布
阅读量135 收藏
点赞数
文章标签: 数据库


 

在判断用户输入的用户名和密码是否和数据库中的相同时,更需要注意的就是SQL注入式攻击,

SQL注入式攻击是指利用设计上的漏洞,在目标服务器上运行SQL命令以及进行其他方式的攻击。

下面是一个简单的例子:

在登录的时候,我在用户名一栏输入℉бrrest,那么所执行的SQL语句就是:

SELECT COUNT(*) FROM db_student WHERE StuUserName='℉бrrest';

通过上面的语句可以在数据库中查询中一条StuUserName字段名为℉бrrest的用户信息,

但是如果我在文本框中输入℉бrrest or ’1′=’1′,

这样我们再来执行SQL语句:

SELECT COUNT(*) FROM db_student WHERE StuUserName='℉бrrest' OR '1'='1';

这样一条SQL语句就能够查找出db_student表中的所有记录,这就是传说中的SQL注入。

接下来介绍两种防止SQL注入式攻击的方法:

方法一、使用SqlCommand.Parameters属性传参过滤非法字符。一个简单登录页面事例代码:

            SqlConnection Con = new SqlConnection(ConfigurationManager.AppSettings["conStr"]);//连接字符串
            Con.Open();//打开数据库
            string strlogin = "select count(*) from tb_student where StuUsername=@name and StuPassword=@pwd";
            SqlCommand com = new SqlCommand(strlogin, Con);//创建SqlCommand对象
 
            com.Parameters.Add(new SqlParameter("@name", SqlDbType.NVarChar, 50));//设置参数名,类型,长度
            com.Parameters["@name"].Value = TextBox1.Text;//设置参数值
            com.Parameters.Add(new SqlParameter("@pwd", SqlDbType.NVarChar, 50));
            com.Parameters["@pwd"].Value = TextBox2.Text;
 
            if (Convert.ToInt32(com.ExecuteScalar()) > 0)
            {
                Response.Write("<script>alert('登录成功!')</script>");
                Response.Redirect("stu_award.aspx");
            }
            else
            {
                Response.Write("<script>alert('用户名或密码错误,请重新输入!')</script>");
                TextBox1.Text = "";
                TextBox2.Text = "";
                TextBox3.Text = "";
            }

方法二、使用LING防止SQL注入式攻击

LING to SQL在用户数据存取时,清除了SQL注入式攻击的存在,LING在每次执行查询时都加上了具体的参数,

例如我依然是在文本框中输入℉бrrest or ’1′=’1′,则LING会产生以下语句:

SELECT [t0].[StuUserName],[t0].[StuPassword],
 
FROM [dbo].[tb_student] AS [t0]
 
WHERE [t0].[StuUserName]=@p0

可以看出,WHERE子句被自动加上了参数,跟第一种方法原理类似,下面是一段事例代码:

protected void Button1_Click(object sender, EventArgs e)
    {
        string name = TextBox1.Text;//获取登录名
        string pass = TextBox2.Text;//获取密码
        LinqDataDataContext ldc=new LinqDataDataContext();//创建LINQ对象
        //创建LINQ查询语句,查询到满足指定登录名和密码的用户
        var result = from v in ldc.userManage
                     where v.StuUsername == name && v.StuPassword == pass
                     select v;
        if (result.Count() > 0)//查询到指定用户
        {
            RegisterStartupScript("", "<script>alert('登录成功!')</script>");
        }
        else   //未查询到指定用户
        {
            RegisterStartupScript("", "<script>alert('登录失败!')</script>");
        }
    }
 
 
 
weixin_34218890
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net Parameters.AddWithValue方法SQL语句的 Where 字句中的用法
01-02
他的写法是这样的: 代码如下:view plaincopy to clipboardprint? string strWhere = “‘%美%'”; strSql = “SELECT * FROM area Where [name] like @strWhere”;//这个就不好使 cmd.Parameters.AddWithValue(“@strWhere”, strWhere); string strWhere = “‘%美%'”; strSql = “SELECT * FROM area Where [name] like @strWhere”;//这个就不好使 cmd.Parame
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP.NET中使用LINQ(第一部分)
天上地下都没有的 超级无敌 帅呆了的 空心竹子
12-13 1246
【原文地址】Using LINQ with ASP.NET (Part 1) 【原文发表日期】Sunday, May 14, 2006 9:49 PM最近使我激动不已的新鲜事之一就是LINQ系列技术的出现,包括LINQ,DLINQ,XLINQ和不久后的其他技术。 LINQ将被完全集成到代号为Orcas的下个版本Visual Studio中,而且它也包含了一些非常酷的框架和 工具支持,包
ASP.NET中实现页面间的参数传递【转】
xujianrj的专栏
10-08 631
一.使用QueryString    使用QueryString在页面间传递值是一种非常常见的方法,我们在ASP中就常常用到。    (1)优点和缺点    优点:    1.使用简单,对于安全性要求不高时传递数字或是文本值非常有效。    缺点:    1.缺乏安全性,由于它的值暴露在浏览器的URL地址中的。    2.不能传递对象。    (2)使用方法    1.在源页面的代码中用需要传递的
asp.net使用参数(parameters)的方法执行数据库操作例子
pyman hall
05-17 962
using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.UI;using System.Web.UI.WebControls;using System.Data.SqlClient;using System.Data;public partial class
创建数据库连接对象
weixin_30760895的博客
07-12 343
using System;using System.Collections;using System.Collections.Specialized;using System.Data;using System.Data.SqlClient;using System.Configuration;using System.Text.RegularExpressions; /// <summ...
ASP.NET防止SQL注入方法示例
01-20
本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接将用户提供的输入拼接到SQL查询中时发生的一种攻击。攻击者可以通过在表单字段、URL参数等处插入...
ASP.NET编程知识】.Netsql注入的几种方法.docx
最新发布
05-15
ASP.NET编程中,SQL注入是一个严重的安全问题,它允许攻击者通过输入恶意SQL代码来操纵数据库。为了保护应用程序免受SQL注入攻击,开发者需要采取一系列的御措施。以下是一些在.NET中防止SQL注入方法: 1. **...
sql注入查询参数化parameters
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
03-20 853
第一种方式 var parameters = new { UserName = username, Password = password }; var sql = "select * from users where username = @UserName and password = @Password"; var result = connection.Query(sql, parameters); 第二种方式 public List<Evaluation_SelfAssessm..
ASP.NET使用参数化查询
PaSifaLL的博客
04-03 505
书写数据库语句 string str = ConfigurationManager.ConnectionStrings["Con"].ConnectionString; SqlConnection conn = new SqlConnection(str); 打开数据库连接 conn.Open(); 3.书写SQL语句 string sql = "inser...
.Netsql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
C#SQL注入SqlParameter参数化
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user where username=' + username + ' and password=' + password + '; 所以我们必须丢弃上面这种方式,使用SqlParameter进行参数化,这样才能提升代码健壮性 SqlCommand cmd = new SqlCommand(); cmd.Comman
ASP防止SQL注入方法
xiaosong2008的专栏
10-25 855
      SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。  II
.net的SQL参数传递实现
马如林的IT博客
03-24 2242
参考Petshop 4 设计(http://www.cnblogs.com/Files/ltc31/Microsoft%20.NET%20Pet%20Shop%204.0.rar),本文主要演示的是怎么准备参数和传递。数据库是Oracle。部分代码如下(用到的其他相关配置参见上篇文档):/**////         /// Execute a select query that will
SqlParameter的用法
weixin_34034670的博客
06-19 398
关于Sql注入的基本概念,相信不需多说,大家都清楚,经典的注入语句是' or 1=1--单引号而截断字符串,“or 1=1”的永真式的出现使得表的一些信息被暴露出来,如果sql语句是select * from 的话,可能你整个表的信息都会被读取到,更严重的是,如果恶意使用都使用drop命令,那么可能你的整个数据库得全线崩溃。 当然,现在重点不是讲sql注入的害处,而是说说如何最大限度的避免注入...
asp(Parameters) 参数化实现方法
网络记事本
06-07 3365
本文演示了使用 ActiveX 数据对象 (ADO) 从 Active Server Pages 调用存储过程的三种方法 下面的示例使用 Command 对象调用示例存储过程 sp_test。此存储过程接受整数,同时返回一个整数值: Place Document Title Here This first method queries the dat
(论坛答疑点滴)有关sql注入
weixin_34279246的博客
04-09 133
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078 大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1304
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
ASP.NET防止SQL注入攻击详解
"这篇资料主要讨论的是SQL注入攻击及其在.NET环境下的范措施。作者万泽贵分享了个人收集整理的资料,旨在帮助学习者理解并应对SQL注入问题。" SQL注入是一种常见的网络安全威胁,攻击者通过在应用程序的输入字段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值