SQL注入 ?oracle sql语句参数,Oracle 中参数化SQL 语句 写法

于 2021-12-03 14:35:33 发布
阅读量1.2k 收藏
点赞数
分类专栏: bug 文章标签: SQL注入 参数化执行 用户安全 数据库查询 安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42665676/article/details/121697933
版权

为什么要参数化执行SQL语句呢?

一个作用就是可以防止用户注入漏洞。

简单举个列子吧。

比如账号密码登入,如果不用参数,

写的简单点吧,就写从数据库查找到unamepw与用户输入一样的数据吧

sqlselect uname,pw where uname='inputID' and pw='inputPW';

一般情况没什么问题,但如果用户输入的uname或PW带 ‘ ,这是可能就会出现漏洞,bug了

比如用户输入的uname是: 1'or '1'='1

这是sql语句执行的是:select id,pw where uname = '1' or '1' = '1' and pw='inputPW';

那数据库里的所有账号密码都符合这个条件了。

简而言之,用户可以通过 ’ 来改变你SQL的执行。

参数化就可以避免这个问题了。

OleDbParameter [] opGroup={new OleDbParameter(":sELEMENT_VALUE",OleDbType.VarChar),new OleDbParameter(":sFACTORY_ID",OleDbType.Integer), new OleDbParameter(":sPART_NO",OleDbType.VarChar),new OleDbParameter(":sELEMENT_ID",OleDbType.Integer) };

opGroup[0].Value=ELEMENT_VALUE;

opGroup[1].Value=Convert.ToInt32(FACTORY_ID);

opGroup[2].Value=PART_NO;

opGroup[3].Value=Convert.ToInt32(ELEMENT_ID);

sql =" UPDATE table SET ELEMENT_VALUE =:sELEMENT_VALUE WHERE FACTORY_ID =:sFACTORY_ID AND PART_NO =:sPART_NO AND ELEMENT_ID =:sELEMENT_ID ";

string connString = GetConnectionString();

OleDbConnection connection = new OleDbConnection(connString);

connection.Open();

OleDbCommand cmd = new OleDbCommand(commandText,connection);

foreach(OleDbParameter parm in parms)

{
cmd.Parameters.Add(parm);

}

cmd.ExecuteNonQuery();

connection.Close();
WK90
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oracle数据库常用sql语句-------(一)
qq_40277754的博客
05-13 6676
ORACLE 常用的SQL语法
oracle查询数据库参数sql语句
最新发布
weixin_43860634的博客
08-31 763
oracle查询数据库参数sql语句
Oracle sql参数值,Oracle数据库启动参数文件及相关SQL语句简介
weixin_35941591的博客
04-02 427
Oracle数据库的启动过程是需要一些启动参数文件来实现的。本文我们对Oracle数据库的启动参数文件进行了总结,并给出了一些与启动参数文件相关的一些SQL语句,接下来就让我们来一起了解一下这部分内容吧。参数文件总结:1.初始参数文件:pfile(initialization parameter file)2.服务器参数文件:spfile(server-side parameter file)1....
oracle参数,Oracle参数参数文件详解_学习笔记
weixin_30563489的博客
04-03 1153
关键字:Oracle参数参数文件作者:mfkqwyc86一、学习记录:1、参数文件v$parameterSQL> desc v$parameterName Null? Type----------------------------------------- -------- -----------------...
文件夹不能被发送
junsuyiji的博客
10-13 351
文件夹不是文件,它没有文件信息,而是一个存放文件的东西。只有把它压缩成一个压缩包后才可以
Oracle 获取上周一到周末日期的查询sql语句
12-16
Oracle数据库,获取上周一至周末日期的SQL语句是一项常见的需求,特别是在数据分析和报表生成的场景下。本文将详细解析如何通过SQL查询来获取这些日期,并介绍相关的Oracle日期函数。 首先,我们来看一下标题...
SQLin参数化的用法
05-06
在 C# 执行 SQL 语句时,我们可以使用参数化查询来实现 where in 和 like 的参数化查询。如: ```csharp using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm =...
Sql语法转换为Oracle语法
10-17
标题“Sql语法转换为Oracle语法”涉及到的主要知识点是SQL Server与Oracle数据库之间的SQL语句转换。这通常是因为在系统迁移或跨平台开发时,需要将SQL Server的查询语句适应Oracle数据库的语法。 描述提到的...
sql语句单引号嵌套问题(一定要避免直接嵌套)
12-15
在动态构建SQL语句时,推荐使用参数化查询或预编译的语句,如使用Java的PreparedStatement,这样可以自动处理转义,并防止SQL注入攻击。 总的来说,处理SQL语句的单引号嵌套问题时,要记住以下几点: 1. 使用两个...
sql oracle跟踪器
03-14
SQL Oracle跟踪器是一种强大的工具,专门用于监测和分析Oracle数据库SQL语句执行情况。它在数据库性能优化、问题诊断和资源管理等方面扮演着至关重要的角色。SQL Monitor 2.4.3.6是该工具的一个版本,它提供了一...
连接jdbc时sql语句统一设置参数
07-27
源代码 博文链接:https://he-wen.iteye.com/blog/757659
cx_Oracle实现查询,修改数据库,以及对SQL语句实现参数化
tester1995的博客
12-15 1819
查询语句 Test_oracle = { "shengchan": { "test_user": {"userName": "xxx", "pwd": "xxxx", "iP": "172.xx.xxx.xxx", "dbSID": "xxx"}, } def search(test1,test2): """ 查询语句 :param test1:参数化数据1 :param test2:参数化数据2 :return: """
Oracle执行参数化SQL语句和存储过程
JustLovePro的专栏
08-26 8150
using System;using System.Collections.Generic;using System.Text;using System.Data.OracleClient;using System.Data;namespace OracleOpDemo{    class Program    {        private st
DRF参数参考
weixin_50018285的博客
09-09 526
drf 参数说明
Oracle sql参数值,OracleCommand SQL参数绑定
weixin_36274181的博客
04-02 144
我对以下参数的绑定有问题。该连接有效,因为我没有使用参数对其进行了测试。但是,执行查询之前的值仍然使用’@userName’而不是’jsmith’。问题是什么?这不是解决绑定的正确方法吗?public static String GetFullName(String domainUser){DataTable dT;String fullName = "";OracleConnection db ...
java oracle sql 参数化,Java参数化Oracle SQL查询?
weixin_39633165的博客
02-13 113
I've been trying to figure out why the following code is not generating any data in my ResultSet:String sql = "SELECT STUDENT FROM SCHOOL WHERE SCHOOL = ? ";PreparedStatement prepStmt = conn.prepareSt...
SQL参数化查询
一个搬砖工人
04-07 534
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 MySQL存储过程(MySQL从5.0以后版本支持存储过程)参数一律以“?”开头 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令
java oracle sql 参数化_Oracle 参数化SQL 语句 写法 | 学步园
weixin_29327977的博客
02-24 230
OleDbParameter [] opGroup={new OleDbParameter(":sELEMENT_VALUE",OleDbType.VarChar),new OleDbParameter(":sFACTORY_ID",OleDbType.Integer), new OleDbParameter(":sPART_NO",OleDbType.VarChar),new OleDbPara...
Oracle PL/SQL实用语句集锦与示例
Oracle数据库是企业级关系数据库管理系统,在日常...这些PL/SQL语句涵盖了数据复制、外连接查询、时间相关提醒、多表操作以及数据历史记录等多个方面的内容,有助于提高在Oracle环境处理复杂数据和业务逻辑的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值