【两种DbParameter的使用方式】防止SQL注入 C# MVC

最新推荐文章于 2024-09-27 08:30:00 发布
最新推荐文章于 2024-09-27 08:30:00 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: SQL 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43041350/article/details/125668512
版权
本文介绍两种SQL参数化方法:一是使用Dapper动态参数代替SQL拼接,通过具体实例展示了如何利用动态参数进行安全高效的数据库操作;二是使用DbParameter实现参数化查询,包括参数较少和参数较多时的具体操作步骤。
摘要由CSDN通过智能技术生成

1.第一种方法就是在使用conn的情况下,使用动态参数dapper来代替SQL拼接

conn.Open();
IDaction transaction = conn.BeginTransaction();//声明事务
var p = new DynamicParameters();
string sql="INSERT INTO table(name) Values (@Name)";
//这里的@Name就是下面的参数名
p.Add("@Name", id,dbType: DbType.Int32, direction: ParameterDirection.Output);
//p.Add(参数名,值,参数类型,输入类型)
connection.Execute(sql, p,translation);//执行
transaction.Commit();//事务提交
conn.Close();//关闭数据库链接

2.第二种方法就是使用DbParameter(在有database的情况下)
2.1 需要的参数不多的时候

DbParameter NameParameter = database.CreateParameter("name",name);
//创建参数,database.CreateParameter(参数名,值)
string sql = string.Format("insert into tablename(name) values({0})",NameParameter.ParameterName );
或者
string sql = "insert into tablename(name) values(@name)"//直接带入参数名
database.ExecuteForNonQuery(sql,NameParameter);
//带入参数,执行

2.2参数较多,则用一个List

List<DbParameter> list = new Dbparameter();
DbParameter NameParameter = database.CreateParameter("name",name);
//创建参数,database.CreateParameter(参数名,值)

//编写SQL
string sql = string.Format("insert into tablename(name) values({0})",NameParameter.ParameterName );
或者
string sql = "insert into tablename(name) values(@name)"//直接带入参数名

list.Add(NameParameter);
//把需要在sql中使用的参数添加到list里,最后执行的时候直接调用List

//执行
database.ExecuteForNonQuery(sql.ToString(),list.Array());
Vincy.Zhang
关注
专栏目录
C# SqlParameter自定义数据类型
Jsl_2019的博客
02-25 691
public int Insert(DataTable dt) { AccessConfigurationDAL accessdal = new AccessConfigurationDAL(); var drs = dt.Select("S_Required = '1' or S_Required = '0'"); SqlParameter[] parameters = new SqlParameter[drs.Le.
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
Dapper 如何确保数据的安全性和防止 SQL 注入攻击?
最新发布
软件行业技术文化交流。
09-27 1536
SQL注入攻击是一种常见的网络攻击手段,它利用了应用程序中安全措施不足的问题,允许攻击者插入或“注入”一个或多个SQL语句到原本的查询中。这种攻击可以用于获取、篡改或删除数据库中的数据,甚至可以执行一些数据库管理操作。
认父亲的DbParameter!!
weixin_33982670的博客
06-19 275
昨日,写下了类似下面的代码:           //定义两个参数          OleDbParameter[] param = {                                          new OleDbParameter("@Name", OleDbType.VarChar, 30) { Value = "小王" },                ...
DbParameter
ainixi7099的博客
05-01 665
124124 转载于:https://www.cnblogs.com/buchizaodian/p/8975672.html
C# 基础知识扩充5 传统三层和MVC架构讲解,Ajax使用防止Sql注入 ,实现页面跳转, MVC创建
qq_40514546的博客
07-24 287
一:用VS2019创建MVC项目的步骤 选中后下一步! 选中MVC然后创建,就完成了创建! 二:控制器和视图分别是哪个文件夹 三:页面跳转的地址格式是? …/控制台名/对应的方法名 四:控制器的方法返回一个视图? return View(); 五:控制器的方法返回一个Json对象 第一步:将控制器中要返回Json对象的方法的类型从ActionResult更改为JsonResult 第二步:...
C# Dapper支持防止SQL注入
让梦想疯狂
07-12 1312
string userId = "';DELETE FROM User WHERE Id=5;'"; string sql = @"SELECT * FROM User WHERE Id = @userId"; DynamicParameters parameters = new DynamicParameters(); parameters.Add("userId", userId); 经过Dapper处理...
C#:支持多种数据库,SqlServer,MsSql,MySql,ODBC,OleDb,Access,Oracle,Sqlite
09-18
- 使用参数化查询以防止SQL注入攻击,提高代码安全性。 - 使用示例: var da = new DataAccess("配置文件.连接名称"); var dt = da.Open("select * from tab1 where id = @id, DbParameter[]); da.BeginTran(); try ...
C#反射生成SQL实例
04-17
5. **参数化查询**:为了防止SQL注入攻击,我们应该使用参数化查询。C#DbCommand对象和DbParameter类可以实现这一功能。通过DbCommand对象的Parameters集合添加DbParameter,设置其参数名和值,然后在SQL语句中...
C#sql like
08-31
C#使用SQL的LIKE语句进行模糊查询时,需要注意防止SQL注入的问题。一种简单的方法是通过字符串过滤来提高SQL语句的安全性,防止SQL注入攻击。这可以有效地保护数据库的安全性。 当在C#使用参数进行模糊查询时...
SQL参数化查询详解.pdf
09-19
这种方式存在两个问题:一是安全隐患,容易导致 SQL 注入式攻击;二是效率低下,每次查询都需要重新解析 SQL 语句。 SQL 参数化查询的原理是使用参数来代替具体的数值,如“SELECT column1, column2, … FROM table...
DBHelper底层数据库操作类(sqlserver,access)
09-16
自己写的数据库操作类,并一直在使用 里面有两个类,DBHelperSqlDBHelperOle DBHelperSql适用sql数据库 DBHelperOle适用access等其它数据库
MVC 如何防止XSS、SQL注入攻击
Java_c#
04-19 3281
在Web项目中,通常需要处理XSS,SQL注入攻击。(过滤特殊字符) 解决这个问题有两个思路: 1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 2、在显示的时候对非法字符进行转义 代码: /// <summary> /// 对转义字符进行处理 /// 左尖括号: < &lt; /// 右尖括...
Dapper防sql注入,同一条SQL支持多种数据库
qq165285727的专栏
05-31 345
Dapper防sql注入,同一条SQL支持多种数据库
C#SQL参数化查询 防止SQL注入
xbbccx的专栏
02-14 1336
OleDbCommand insertCom=new OleDbCommand(); insertCom.CommandText= "insert into insurance(name,specify,yearnumber,typeworkid,sumorwin) values(?,?,?,?,?) "; insertCom.Parameters.Add(new OleDbParame
C# dbparameter几点需要注意的地方
weixin_30847271的博客
06-09 1889
1.即使 数据库中那些可为空的字段有参数来执行插入或者修改时,都要保证参数value的不可为null,为null的时候会提示not all aviariables bound,但可以为“”(空字符串) 例如Oracle中有一表t,t中有一字段varchar2(10)的字段c1 取某一文本框TextBox1的值插入字段 比如insert into t values(:p1) ...
ADO.NET基础学习-----四种模型,防止SQL注入
07-10 128
1.ExcuteNonQuery   执行非查询语句,返回受影响的行数。 1 // 1.ExcuteNonQuery 2 3 string sqlconn = "Data Source=wss;Initial Catalog=TextDB;User ID=sa;Password=w778764;Integrated Sec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值