【两种DbParameter的使用方式】防止SQL注入 C# MVC

最新推荐文章于 2023-02-23 14:57:40 发布
最新推荐文章于 2023-02-23 14:57:40 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: SQL 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43041350/article/details/125668512
版权

1.第一种方法就是在使用conn的情况下,使用动态参数dapper来代替SQL拼接

conn.Open();
IDaction transaction = conn.BeginTransaction();//声明事务
var p = new DynamicParameters();
string sql="INSERT INTO table(name) Values (@Name)";
//这里的@Name就是下面的参数名
p.Add("@Name", id,dbType: DbType.Int32, direction: ParameterDirection.Output);
//p.Add(参数名,值,参数类型,输入类型)
connection.Execute(sql, p,translation);//执行
transaction.Commit();//事务提交
conn.Close();//关闭数据库链接

2.第二种方法就是使用DbParameter(在有database的情况下)
2.1 需要的参数不多的时候

DbParameter NameParameter = database.CreateParameter("name",name);
//创建参数,database.CreateParameter(参数名,值)
string sql = string.Format("insert into tablename(name) values({0})",NameParameter.ParameterName );
或者
string sql = "insert into tablename(name) values(@name)"//直接带入参数名
database.ExecuteForNonQuery(sql,NameParameter);
//带入参数,执行

2.2参数较多,则用一个List

List<DbParameter> list = new Dbparameter();
DbParameter NameParameter = database.CreateParameter("name",name);
//创建参数,database.CreateParameter(参数名,值)

//编写SQL
string sql = string.Format("insert into tablename(name) values({0})",NameParameter.ParameterName );
或者
string sql = "insert into tablename(name) values(@name)"//直接带入参数名

list.Add(NameParameter);
//把需要在sql中使用的参数添加到list里,最后执行的时候直接调用List

//执行
database.ExecuteForNonQuery(sql.ToString(),list.Array());
Vincy.Zhang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
C# dbparameter几点需要注意的地方
weixin_30847271的博客
06-09 1834
1.即使 数据库中那些可为空的字段有参数来执行插入或者修改时,都要保证参数value的不可为null,为null的时候会提示not all aviariables bound,但可以为“”(空字符串) 例如Oracle中有一表t,t中有一字段varchar2(10)的字段c1 取某一文本框TextBox1的值插入字段 比如insert into t values(:p1) ...
C#全能数据库操作类及调用示例
u011555996的博客
01-06 5115
[csharp]using System;using System.Data;using System.Data.Common;using System.Configuration;namespace MSCL{ /// /// DbHelper通用数据库类 /// public class DbHelper... [csharp] using System;  usin
DBHelper类
zhu1991_的博客
12-08 362
using System;     using System.Data;     using System.Data.Common;     using System.Configuration; namespace MyDBHelper {     public class DBHelper     {         private static string dbProvid
20230223-EF6用原生的命令执行SQL命令
Jack_software的专栏
02-23 998
EF6用原生的命令执行SQL命令
.net 利用Emit将object转为DbParameter,DataTable转为List<>
aitui8236的博客
06-06 293
  先放测试结果图,测试的方法是拷贝了老赵的一个简单的性能计数器:CodeTimer。发现速度还是比利用反射来获取快了2倍左右的,将object转为DbParameter的反射方法我没写。    在开发中,由于没有用第三方的orm框架,导致和数据库交互这里需要写很...
认父亲的DbParameter!!
weixin_33982670的博客
06-19 249
昨日,写下了类似下面的代码:           //定义两个参数          OleDbParameter[] param = {                                          new OleDbParameter("@Name", OleDbType.VarChar, 30) { Value = "小王" },                ...
C# 基础知识扩充5 传统三层和MVC架构讲解,Ajax使用防止Sql注入 ,实现页面跳转, MVC创建
qq_40514546的博客
07-24 261
一:用VS2019创建MVC项目的步骤 选中后下一步! 选中MVC然后创建,就完成了创建! 二:控制器和视图分别是哪个文件夹 三:页面跳转的地址格式是? …/控制台名/对应的方法名 四:控制器的方法返回一个视图? return View(); 五:控制器的方法返回一个Json对象 第一步:将控制器中要返回Json对象的方法的类型从ActionResult更改为JsonResult 第二步:...
DbParameter
ainixi7099的博客
05-01 626
124124 转载于:https://www.cnblogs.com/buchizaodian/p/8975672.html
C#SQL参数化查询 防止SQL注入
xbbccx的专栏
02-14 1306
OleDbCommand insertCom=new OleDbCommand(); insertCom.CommandText= "insert into insurance(name,specify,yearnumber,typeworkid,sumorwin) values(?,?,?,?,?) "; insertCom.Parameters.Add(new OleDbParame
C#数据库操作类-SQLHelper
08-06
C#数据库操作类-SQLHelper,方便操作Sql数据库,源代码,下载即可使用.
C#数据库操作公用类
06-04
数据库操作公用类 public static DbDataReader ExecuteReader... DbCommand cmd, CommandType cmdType, params DbParameter[] para) { PrepareCommand(conn, cmd, cmdType, para); return cmd.ExecuteReader(); }
System.Data.Silverlight V2.0
05-22
//SQL Server无须做如下两步设置 //设置使用的数据访问程序集 conn.AssemblyName = "System.Data"; //设置数据工厂,这里是Oledb方式的数据工厂 conn.DbProviderFactory = "System.Data.OleDb.OleDbFactory"; ...
.NET DbHelper 数据访问类(MSSQL Mysql ORACLE)
08-30
可以拿过来直接使用,放在手里好多年了。 IDatabase接口声明如下: namespace Simple.Database { /// /// IDatabase 接口 /// public interface IDatabase { DbConnection dbConn { get; set; } /// /// ...
超牛×的DBHelper类
10-18
foreach (DbParameter dbParameter in dbParameterCollection) { cmd.Parameters.Add(dbParameter); } } /// /// 增加输出参数 适用于存储过程 /// /// <param name="cmd">cmd对象 /// 参数名 /// 参数...
SQL中 向指定的某一行的某一列插入值
weixin_43041350的博客
02-18 6169
才知道insert 不支持where。 想在SQL中向指定的某一行的某一列插入值。 尝试用update看看: update table set 要修改的列名=xx where 条件列筛选 = ? 如:string sql ="update userinfo set password='{0}' where name='{1}' "; //填充SQL语句 sql1 = string.Format(...
SQL报错:Ambiguous column name ‘数据库某列’
weixin_43041350的博客
11-15 2602
如果A和B表中都有SCORE字段,这时就会出现ambiguous column name ‘SCORE’ 这个错误。
SQL获取其他表里的字段名并作为数据存到总表
weixin_43041350的博客
02-08 1426
3.用while循环将临时表信息插入总表(insert语句根据具体情况而定)1.根据表名,先获取指定表里的字段,查询结果存储为临时表(加ID列)2.查询刚刚生成临时表的数据条数,记下后面要用。
C#sql like
最新发布
08-31
C#使用SQL的LIKE语句进行模糊查询时,需要注意防止SQL注入的问题。一种简单的方法是通过字符串过滤来提高SQL语句的安全性,防止SQL注入攻击。这可以有效地保护数据库的安全性。 当在C#使用参数进行模糊查询时,需要注意ADO.NET进行参数化时会自动将参数值包含在单引号中。在SQL语句中,如果将参数标识符@放在单引号中,单引号中的参数标识符@只会被当作字符串,因此无法正确查询数据。 正确的SQL模糊查询语句应该将通配符%单独标识出来,并使用参数变量进行查询。例如,正确的SQL模糊查询语句应该是类似于以下的形式: ``` string sql = "select * from table where columnName like '%' + @search + '%'"; ``` 在这个语句中,我们将通配符%单独标识出来,并使用参数变量@search进行查询。这样就能够正确地进行模糊查询了。 需要注意的是,在SQL查询语句中,单引号起着C#语句中字符串双引号的作用。在SQL中是没有双引号的,因此需要使用单引号将%引起来。这样才能正常进行模糊查询。 另外,还可以使用参数化查询的方式防止SQL注入攻击。通过使用参数对象将查询条件传递给SQL语句,可以避免直接拼接字符串造成的安全隐患。例如: ``` string sinfo = "abc"; string sql = "select * from table where columnName like @search"; List<DbParameter> parameters = new List<DbParameter>(); parameters.Add(new SqlParameter("@search", "%" + sinfo + "%")); // 执行查询代码 ``` 在这个例子中,我们使用了参数对象来传递查询条件,通过将参数值与通配符%拼接后作为参数的值传递给SQL语句,实现了安全的模糊查询。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [C#使用带like的sql语句时防sql注入的方法](https://download.csdn.net/download/weixin_38698863/12808573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [C#系列---⑨C#中如何实现带有参数的sql语句模糊查询(即Like查询)](https://blog.csdn.net/Elsa15/article/details/103262977)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [C# sql like查询](https://blog.csdn.net/weixin_53370274/article/details/117353797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值