sql 拼接 防止注入

已于 2023-09-05 17:13:21 修改
阅读量1.7k 收藏 1
点赞数
分类专栏: SQL 文章标签: sql
于 2013-10-18 16:00:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zheyiw/article/details/84490263
版权 
1  尽量用统一替换,好处很多

//创建insert语句
private List<string> GetInsertSqlFromListPA_SD(List<PA_SD> list)
{
	List<string> sqlList = new List<string>();
	string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product,materdesc,prdsize,qty,subprddesc) 
								Values({0},{1},{2},{3},{4},{5},{6},{7},{8}) ";
	foreach (PA_SD obj in list)
	{
		sqlList.Add(string.Format(strSQL,
						SqlParamFomat(obj.DNDH),
						SqlParamFomat(obj.pono),
						obj.itemno,
						SqlParamFomat(obj.style),
						SqlParamFomat(obj.product),
						SqlParamFomat(obj.materdesc),
						SqlParamFomat(obj.prdsize),
						obj.qty,
						SqlParamFomat(obj.subprddesc)
			));

	}
	return sqlList;
}

private string SPF(string str)
{
	return SqlParamFomat(string str);
}

//格式化sql语句的参数,在最外面添加分号
//例如 exec spLogin @UserID={0}  可以用本函数替换{0}
private string SqlParamFomat(string str)
{
	if (null != str)
	{
		string tmp = str.Replace("'", "''");
		return "'" + tmp + "'";
	}
	else
	{
		return "null";
	}
}

private string SPFNW(string str)
{
	return SqlParamFomatNoWrap(string str);
}

//格式化sql语句的参数,没有添加最外面的分号
//例如String sql = "exec spLogin @UserID='" + SPFNW(userID) + "'";  
private string SqlParamFomatNoWrap(string str)
{
	if (null != str)
	{
		string tmp = str.Replace("'", "''");
		return tmp;
	}
	else
	{
		return "";
	}
}


2 如果必须用string+string来拼接sql我们要对每个参数进行处理
a 字符串参数必须调用SqlParamFomat()函数格式化
b 数字类型的必须检查传入的参数是数字的,才能拼接到sql中
c 日期类型,必须传入日期类型的参数,再在代码中转换为日期字符串拼接到sql中
d 布尔型,必须传入布尔型参数,再在代码中转换为1或0拼接到sql,或直接拼接
中心思想就是,拼接sql前,要保证传入的数据类型跟参数一致, 再处理好字符型的参数
因为只有字符型的参数能被注入
包达叔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
如何拼接SQL语句,以及如何防止SQL注入攻击
qq_40922845的博客
01-20 7124
在书写SQL语句(或者其他语句)的过程中,有时需要将形参放入准备好的SQL变量中,就需要对语句进行拼接拼接方法如下,字符串需要整个用双引号包裹,形参需要暴漏在双引号外面,字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析: 正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...
sql server拼接字符串和拼接一列的值
09-03
sql server拼接字符串查询语句。 普通拼接字符串和拼接某一列的所有值。
StringBuilder--拼接Sql语句Sql注入
weixin_30485799的博客
01-24 1747
1、首先需要填写一个StringBuilder的扩展类 namespace Code.Common { /// <summary> /// 扩展StringBuilder方法 /// 防止Sql注入 /// </summary> public static class StringBuilderExtend ...
拼接 sql 注入
new Girl的博客
09-30 1537
--变量的方式接受字符串值可以注入 DECLARE @mark0 nvarchar(500); set @mark0=''','''','''','''') delete T_TASK_SUBORDER where SUBID =''0A76A5187D6A48968027100BDF4B3148'''; INSERT INTO T_TASK_SUBORDER(COMPANYID,SUBID,...
如何防止sql注入
weixin_41770160的博客
06-20 131
sql注入
C#SQL注入代码的三种方法
12-31
为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化...
SQL注入.rar
04-05
针对这一问题,我们需要深入理解SQL注入的概念、机制以及范策略。 SQL注入的原理是,当用户通过表单、URL参数等方式提交数据到服务器时,这些数据未经处理直接拼接SQL查询语句中。例如,一个简单的登录系统...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
浅谈SQL注入拼接字符串注入
李志华 博客 专栏
07-16 8449
SQL注入解释:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入原因      写SQL语句的时候会用拼接字符串的方法,所以会发生SQL注入这种问题。SQL注入后果        如果是让别人发现了你的这个注入的漏洞的话,你的整个数据库有可能直接获得管理员的权限,也就是说这个数据库又可以能掌握在别人的手里,
sql注入形式,动态添加查询条件参数
chinaxiaofeng8的专栏
08-25 1027
/** * * 根据输入值查询出教师信息 * @param sort * @param page * @param countPerPage * @param teacherName 教师名称 * @param teacherWorkUnit 工作单位 * @param teacherState 教师状态 * @param fieldName * @param fieldId ...
防止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
C# sql参数拼接时,防止sql注入
hzm博客
09-23 758
/// <summary> /// 安全输出字符串(页面内容) /// </summary> /// <param name="s"></param> /// <returns></returns> public static string ToSafe(this string s) { if (s == null) { s ...
c语言 防止sql注入,c#如何防止sql注入?
weixin_36360511的博客
05-24 1950
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入。下面我们给大家介绍C#防止sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
正则校验windows和linux路径
weixin_43173924的博客
09-07 996
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
C# SQL注入SQL参数化
houyanhua1的专栏
12-13 3592
//解决SQL注入漏洞 cmd是SqlCommand对象 cmd.CommandText = @"select count(*) from UserInfo where UserName=@UserName and UserPwd=@UserPwd"; cmd.Parameters.AddWithValue("@UserName",txtUserName.Text); //SQL参数化 cmd
C# sql语句拼接时 like情况的sql注入的用法
weixin_34192993的博客
09-04 144
  今天下午同事问我一个比较基础的问题,在拼接sql语句的时候,如果遇到Like的情况该怎么办。   我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。   刚在网上找了下相关的说明,原来是这样写的。   如这样一个sql语句:    select * from game where gamename like '%张三%' ...
防止sql拼接的Java方法_JAVA程序防止SQL注入的方法
weixin_30563489的博客
02-26 943
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码 String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setStri...
避免sql注入的方法
春风化雨
12-17 761
1、使用预处理 PreparedStatement mybatis防止sql注入: # 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。 $ 将传入的数据直接将参数拼接sql中。 #与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。 2、使用正则表达式过滤掉字符中的特殊字符 即对你参数进行合理教研,避免sql拼接恶意脚本。 ...
c# winform 拼接sql 防止sql注入
05-23
在 C# WinForm 中拼接 SQL 语句时,为了防止 SQL 注入攻击,可以采用参数化查询的方式。具体步骤如下: 1. 定义 SQL 语句,使用参数占位符来代替实际的参数值,例如: ``` string sql = "SELECT * FROM users WHERE username = @username AND password = @password"; ``` 2. 创建 SqlCommand 对象,并设置参数。例如: ``` SqlCommand cmd = new SqlCommand(sql, connection); cmd.Parameters.AddWithValue("@username", txtUsername.Text); cmd.Parameters.AddWithValue("@password", txtPassword.Text); ``` 3. 执行查询并获取结果。例如: ``` SqlDataReader reader = cmd.ExecuteReader(); while (reader.Read()) { // 处理查询结果 } ``` 通过采用参数化查询的方式,可以将参数值与 SQL 语句分离,从而防止 SQL 注入攻击。同时,也可以避免不必要的字符串拼接操作,提高代码的可读性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值