(ADO.NET)SqlCommand参数化查询

最新推荐文章于 2023-04-07 09:58:52 发布
最新推荐文章于 2023-04-07 09:58:52 发布
阅读量214 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/joeymary/p/4593483.html
版权

string strcon = "Persist Security Info=False;User id=sa;pwd=lovemary;database=student;server=(local) ";
SqlConnection sql = new SqlConnection(strcon);
sql.Open();
SqlCommand com = new SqlCommand();

com.Connection = sql;

com.CommandText = "delete from XSB where XH ='"+tbXH.text+"'";

直接这样赋值会导致一个什么问题呢?比如用户在tbXH(textbox属性名)中输入”  1‘or‘1’=’1‘  “;

这样就会导致这句SQL语句,永远成立,如delete from XSB where XH ='1’or‘1’=‘1’  会导致删掉表中所有记录

如何解决呢?

用参数化查询:

com.CommandText = "delete from XSB where XH = @XH";

com.Parameters.Add(new SqlParameter("@XH",tbXH.text));

以下几种SQL语句均可用参数化查询

"delete from XSB where XH = @XH"

"INSERT INTO XSB(XH,XM,XB,CSRQ,ZY,ZXF)VALUES(@Name,@Age,.... )"

"select.....where = @.."

"update ...set Age = @.."

 

转载于:https://www.cnblogs.com/joeymary/p/4593483.html

weixin_34393428
关注
使用SqlCommand参数化查询数据库
vAction的专栏
11-19 4320
原SQL:SELECT ID  FROM SmsGuest WHERE (Type = @UserType) AND (UserName = @UserName)     //-----------------------------------------------------------                             using (SqlConnecti
ADO.NET 面试题
最新发布
yu57955的博客
05-17 1113
什么是 ADO.NETADO.NET 的主要特点有哪些?ADO.NET 的四个组件分别是什么?什么是 Connection 串?Connection 的状态有哪些?什么是 DataAdapter?DataAdapter 的作用是什么?什么是 DataSet?ADO.NET 中如何使用事务?什么是存储过程?存储过程的优劣何在?优点缺点什么是参数化查询?什么是事务?事务的并发控制有哪些?什么是连接池?ADO.NET 中如何使用连接池?什么是 LINQ to DataSet?
SqlCommand 参数化输入SQL语句
ERP顾问生涯
04-21 6826
。。用参数化方法构建SQL语句,可以不用去拼接SQL语句,那样很容易出错虽然我之前项目都是拼接的。。。汗中 其次还可以防止SQL语句注入,在我的项目里,update,delete,insert 和带条件的select 都使用了参数构建SQL语句,像"select * from table"之类的句子,就不用了。。。SqlCommand sqlcom =new SqlCommand( "
黑马程序员之ADO.NET学习笔记:SqlCommand(命令对象)
blog_CSDN_xutingzhou
09-07 457
1.实例化的时候默认初始化的四个属性 2.创建命令对象   使用连接对象的“CreateCommand()”方法创建命令对象,也可以使用new来实例化对象!   SqlCommand command = connection.CreateCommand();//这种方式比较好,也可以自己实例化一个对象! 3.几个重要属性     a .CommandText  :获取或设
ADO.NET 使用参数化查询
weixin_30296405的博客
09-28 238
1.要在ADO.NET对象模型中执行一个参数化查询,需要向Command对象的Parameters集合中添加Parameter对象 生成SqlParameter的最简单方式是调用SqlCommand对象的Parameters集合中的AddWithValue. 可生成了一个新的SqlParameter对象,并设置新对象的ParameterName和Value属性 eg: cmd.Paramet...
ADO.NET调用带参数的SQL语句
菲菲的技术博客
06-08 1129
//获取连接字符串static string url = ConfigurationManager.ConnectionStrings["SqlServer"].ToString();//根据学号修改学生信息static void UpdateByNo(string no,string name,string sex,int age){ using(SqlConnection
ADO.NET自己封装SqlHelper类
04-21
这个SqlHelper类通常包含了执行SQL语句的基本功能,比如执行非查询操作、查询操作,以及处理参数化查询等。下面我们将详细讨论如何使用C#语言封装一个SqlHelper类,以及其核心知识点。 首先,我们要理解ADO.NET的...
ADO.NET数据库访问技术
09-10
Command对象可以结合参数化查询,提高安全性并防止SQL注入攻击。 3. **DataReader对象**:提供从数据库中快速、连续读取数据的能力,通常是只进的、不可滚动的结果集。适合大量数据的流式处理,因为它占用的系统...
Ado.NET基础教程:参数化查询防止SQL注入
"Ado.net基础学习,关注参数化查询以防止SQL注入,讲解Ado.net中的Connection、Command、DataReader、DataAdapter等对象以及数据库操作步骤" 在Ado.net基础学习中,参数化查询扮演着至关重要的角色,特别是在Web...
ADO.NET中添加事务
12-14
本篇将详细讲解如何在ADO.NET中添加事务,以及如何利用存储过程和参数化查询来防止SQL注入。 首先,事务在ADO.NET中可以通过`SqlConnection`的`BeginTransaction`方法来启动。在提供的代码片段中,`UpdateByTran`...
SqlCommand的三大方法
weixin_42317631的博客
04-07 824
在学习.net时,经常看到sqlcommand和ExecuteNonQuery()等方法,在此记录下每个方法的作用
SQL中的查询命令
热门推荐
asdfddsasf的博客
01-11 1万+
SQL:Structured Query Language 结构话查询语言 第一个命令:(命令的结尾必须是;, sql命令是不区分大小写的) show databases; 列出服务器管理的数据库 第二个命令:(数据库名必须是唯一) use +数据库名 ;进入到哪个数据库中 第三个命令: show tables; 显示该数据库中所有的表 第四个命令: show columns form 表名; 显示该表所有的列名 Field: 列名称 Type: 列数据类型 ...
c# 数据库编程(通过SqlCommand 执行数据库查询
weixin_33834910的博客
03-25 343
前面一篇文章,我们介绍了如何在c#中对数据库进行更新操作。主要是利用SqlCommand 对象的ExecuteNonQuery方法。 这篇文章介绍,如何进行查询操作。本文给出的例子仍然是针对sql server数据库的。对于其它数据库(源),区别只是引入的部门api的不同,但流程和方法是一样的。  一、查询单个值 SqlCommand 对象提供了一个ExecuteScalar方法,它的作用是...
浅析Sql Server参数化查询
weixin_33726943的博客
04-21 253
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。 相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视 错误认识1.不需要防止sql注入的地方无需参数化  参数化查询就是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数就不用参数,为啥?多麻烦,我只是做公司内部系...
C# 参数化SQL
Hoxily的窝窝
03-13 2400
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,
ADO.NET数据库查询SQLCommand方法汇总
哈士奇
02-22 5300
前言          我们都知道要对数据库进行操作,首先要通过Sqlconnection来连接数据库,在通过SqlCommand来操纵数据库。但是SqlCommand中有很多的方法,初学者可能很糊涂,完全不明白是干什么的。在此小编给大家综合汇总一下如何对数据库进行操纵。 一、创建SqlCommand对象   可以通过三种方式创建Sqlcommand对象。 1. 用NEW关键字直接创建
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值