ASP.net(c#) 在ACCESS数据库中利用参数使用存储过程例子(防SQL注入)

最新推荐文章于 2022-04-30 18:48:32 发布
最新推荐文章于 2022-04-30 18:48:32 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: asp.net 文章标签: 数据库 sql access asp.net 存储 c#

我们要实现的在文本框中输入帐号,密码,按确定后,从Access数据库中检索是否帐号和密码正确,若正确,则弹出"登陆成功",错误则弹出"登陆失败".而这我们要用参数使用存储过程实现.

首先我们要建一张表,打开access数据库,在查询下的SQL视图输入:

create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)

这样我们就建好了一张名为admin_table的表.

再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录

insert into admin_table(acc_name,acc_password)
values('admin','admin888')

注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!

接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:

在default.aspx.cs中用我们以前的做法,代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }    }

    protected void Button1_Click(object sender, EventArgs e)
    {

            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand(cmdText, conn);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

在我们输入正确的admin和admin888后弹出:

然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是

admin' or '1=1

其结果是:

为什么会这样呢?理由很简单.其实根据

string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";

那么你输入的

admin' or '1=1

等同于:

string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";

明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.

修改后的代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
            //定义连接字符串
            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
            OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraName.Value = this.tbxName.Text;
            cmd.Parameters.Add(paraName);
            OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraPassWord.Value = this.tbxPassWord.Text;
            cmd.Parameters.Add(paraPassWord);            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

 下面这部分代码最关键:

OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);

需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.

这次我们再次输入下面:

结果:

 

总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.

zky0901
关注
专栏目录
ASP.NET 使用C#连接Access数据库的相对路径写法
m0_47037246的博客
09-29 648
在连接Access数据库时,我们可以使用相对路径来指定数据库文件的位置。下面是一份详细的教程,展示了如何使用C#代码连接Access数据库使用相对路径。在上面的代码,我们创建了一个OleDbCommand对象,并将SQL查询字符串和连接对象传递给它。在本教程,我们将数据库文件命名为"Database.mdb"并将其放置在项目的根目录下。通过使用上述步骤,您可以在ASP.NET应用程序使用C#代码连接Access数据库使用相对路径来指定数据库文件的位置。添加Access数据库文件。
access数据库创建存储过程
05-17
access数据库创建存储过程,通过查询分析器创建查询完成“存储过程
C#执行ACCESS存储过程
luwq168的专栏
09-05 1205
ACCESS存储过程实际上就是Update、Insert
Access存储过程
注重长远 天天积累 cqujsjcyj
06-07 427
Access存储过程     摘自:http://study.qqcf.com/web/717/228973.htm     一. ACCESS是用QBE的,不是SQL没有存储过程  二、 access里有存储过程,在access里新建一个查询本身就是一个存储过程语发的变量不用声明select * from tablename where id=@var在asp.net里调用...
C#Access数据库用储存过程查询
qq_31178679的博客
07-15 469
Access数据库创建查询过程 关掉这个对话框,右键弹出菜单选择SQL视图 在这里用SQl语句编辑查询 完了关闭界面弹出保存查询 在C#就可能像SQL数据库一样用储存过程来操作了. 自己封装的函数一个不带参数列表的,一个带参数列表 /// <summary> /// 用储存过程查询 /// </summary> /// <param name="cuCunGocen"></pa.
简述在Access使用存储过程
weixin_30394669的博客
07-09 219
  很多人问起在Access数据库怎样使用存储过程,其实Access没有存储过程,我们说的Access的“存储过程”是指在Access通过内置的查询表来操作数据,从而大大优化ASP查询的执行速度,下面就简要介绍如何在Access使用存储过程”。 例一:首先我们在Access做一个非常简单的delete查询。 现假设有一个Table1表,我们要删除id<...
ASP.NET C# 连接 access sqlserver 数据库
12-14
ASP.NETC#连接数据库主要是连接SQL Server和Access数据库,这两者区别不大。很多开发者第一次配置费了不少劲,微软的产品会遇到问题,能遇到的问题都遇到了,今后数据库基本都能连接。  连接Access  首先看...
ASP.NET编程知识】将Access数据库数据导入到SQL Server的详细方法实例.docx
最新发布
05-21
本文档将详细介绍如何使用 ASP.NET 编程语言将 Access 数据库的数据导入到 SQL Server 。该方法实例将指导读者一步步完成数据迁移的过程。 一、准备工作 在开始数据迁移之前,需要准备好 Access 数据库SQL ...
asp.net C#+access留言板
10-31
在这个"asp.net C#+access留言板"项目,我们将探讨如何利用这两者结合,以及Access数据库来实现一个简单的在线交流平台。 1. **ASP.NET Web Forms** ASP.NET Web Forms是ASP.NET框架的一部分,它允许开发者创建...
asp.net(C#)access数据库ado.net操作类AccessHelper
07-02
总结,`AccessHelper`类是ASP.NET(C#)应用程序Access数据库操作的一个实用工具类,它封装了ADO.NET的基本操作,如连接、查询、参数SQL以及事务处理,使得数据库操作更加简洁、安全。在实际项目,可以根据...
ACCESS里面创建带参数存储过程
5653325的专栏
01-06 1994
需要注意的是page_load里面的创建存储过程只能执行一次,如果第二次还要创建同名的话会提示错误信息“存储过程已经存在。”,其实加个判断就行了。懒得加了,只是用来试验一下。 调试环境 ASP.NET 2.0(编译工具VS2008),代码C#access版本2003 protected void Page_Load(object sender, EventArgs e) { OleDbCon...
c# 登录 sql注入 mysql数据库
weixin_30872867的博客
10-04 355
利用参数SQL注入 public string serachName(string name) { string result = ""; try { conn.Open(); ...
一条写出Access数据库存储过程的捷径
10-30 100
看前面那篇Access存储过程的日志我们知道Access的查询扮演这Access存储过程的角色,在写存储过程的时候,遇到烦一点的查询语句就经常会因为一些小小的粗心啊大意啊什么的让我们的程序无法运行,现在有一条生成存储语句的捷径:1.新建一个查询,选择设计视图2.在这里我们选择存储过程所有需要用到的数据表3.我们在这个页面设计查询表之间的关系,双击选择需要查询出来的字段4.点击...
NET下面调用Access存储过程的方法
09-30 3367
         在Sql Server使用存储过程是大家都比较熟悉的了,前不久自己作了一个小东东,数据库使用的是MS Access数据库,也想着试试用存储过程是否可行。毕竟,存储过程与代码的关系不是非常大,数据库存储过程的修改有些是不用更改编码的。下面贴出我的代码,大家会发现,其实跟调用Sql Server的存储过程是完全一样的,不同的仅仅在于存储过程的名称。       以删除人员信息
存储过程如何在Access里工作?
幸福的猪的专栏
12-08 1165
不像在Access里的其它的对象,存储过程没有用户界面,并且不能在Access的界面里创建。 要建立它们的方法只有编码。我将示范如何在ADO.NET实现这些代码。 当一个存储过程被添加到Access数据库时,JET Engine会把存储过程转换到一个查询对象。 对一个Access开发者而言,这就象编写一个简单的查询,是不必要的工作。 然而,它确实有它的优点。考虑一下,一个应用系统必须为了分开
Access数据库注入方法及
xabc3000的专栏
05-30 3334
Access数据库想对于MsSql来说可谓小巫见大巫,但是Acc的数据库在目前国内还是有一定的市场,其注入也很灵活。相信你看完本文就会了解到Access也是很强大的。 一,基础篇 1、猜解表名,这里借用啊D的语句: and exists (select * from 表名) 2、猜解列名: and exists (select 字段 from 表名) UNION法,在执行union之前
C# 访问Access使用参数时注意事项
weixin_34344403的博客
07-17 456
2019独角兽企业重金招聘Python工程师标准>>> ...
C#操作Access数据库方法比较
dongbang3606的博客
08-07 192
C#对于Access数据库的几种操作方法比较如下: //取得连接public OleDbConnection getConn(){ConnectDatabase connstr=new ConnectDatabase();string connStr=connstr.GetConnectionString();OleDbConnection oledb=new...
数据库三级考试 真题存储过程汇总(含答案)
qq_51175813的博客
04-30 1287
数据三级考试真题汇总之存储过程
使用ASP.NETACCESS进行数据库开发
"本文将介绍如何在ASP.NET环境利用ACCESS数据库进行开发,主要涉及ASP.NET+ACCESSACCESS+C#的结合应用。" 在ASP.NET应用程序ACCESS数据库常用于小型项目或初学者的学习,因为它易于使用且集成度高。本教程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值