SQL参数化查询

最新推荐文章于 2024-05-11 11:59:49 发布
最新推荐文章于 2024-05-11 11:59:49 发布
阅读量4.3w 收藏 33
点赞数 6
分类专栏: Web安全 编程相关

SQL参数化查询

一、以往的防御方式
以前对付这种漏洞的方式主要有三种:
  • 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。
  • 字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。
  • 存储过程:把参数传到存储过程进行处理,但并不是所有数据库都支持存储过程。如果存储过程中执行的命令也是通 过拼接字符串出来的,还是会有漏洞。

二、什么是参数化查询?


    一个简单理解参数化查询的方式是把它看做只是一个T-SQL查询,它接受控制这个查询返回什么的参数。通过使用不同的参数,一个参数化查询返回不同的结果。要获得一个参数化查询,你需要以一种特定的方式来编写你的代码,或它需要满足一组特定的标准。
    有两种不同的方式来创建参数化查询。第一个方式是让查询优化器自动地参数化你的查询。另一个方式是通过以一个特定方式来编写你的T-SQL代码,并将它传递给sp_executesql系统存储过程,从而编程一个参数化查询。

        这样的解释还是有点模糊,先看一例:

例一:参数化查询


    参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。

    在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。
 
//在ASP.NET程序中使用参数化查询

//ASP.NET环境下的查询化查询也是通过Connection对象和Command对象完成。如果数据库是SQL Server,就可以用有名字的参数了,格式是“@”字符加上参数名。

SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=sa;pwd=12345;initial catalog=TestDb");
conn.Open();

SqlCommand cmd = new SqlCommand(“SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password“);
cmd.Connection = conn;
cmd.Parameters.AddWithValue(”UserName”, “user01″);
cmd.Parameters.AddWithValue(”Password”, “123456″);

SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);

reader.Close();
conn.Close();
参数化查询被喻为最有效防止SQL注入的方法,那么存储过程一定是参数化过后的吗?

如果存储过得利用传递进来的参数,再次进行动态SQL拼接,这样还算做是参数化过后的吗?如果存储过程一定是参数化过后的,那么是不是意味着,只要使用存储过程就具有参数化查询的全部优点了?
如下存储过程: 
create procedure pro_getCustomers
(
	@whereSql nvarchar(max)
)
as
declare @sql nvarchar(max)
set @sql=N'select * from dbo.Customer ' + @whereSql
exec(@sql)
Go
--如果我要在ADO.NET中参数化查询这个存储过程,以防止SQL注入,我该怎么办呢?比如:
exec pro_getCustomers 'where Name=@name'
这种方法没有办法防止注入,你能做的就是对字符串进行过滤.
拼接SQL是: 
"select * from customer where 1=1"   + " and name=@name" + " and sex=@sex"
也就是判断参数化查询。只不过是动态地组装查询限制条件。

动态拼接SQL,而且是参数化查询的SQL语句是没有问题的。
ADO.NET中被SQL注入的问题,必须过于关键字。原作者的测试代码如下: 
USE [B2CShop]
GO
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
ALTER procedure [dbo].[pro_getCustomers]
(
	@whereSql nvarchar(max),
	@paramNameList nvarchar(max),
	@paramValueList nvarchar(max)
)
as
declare @sql nvarchar(max)
set @sql=N'select * from dbo.Customer ' + @whereSql
exec sp_executesql @sql, @paramNameList , @paramValueList
go

/// <summary>
    /// 动态执行存储过程
    /// </summary>
    /// <param name="searchedName">要查询的姓名的关键字</param>
    /// <returns>实体集合</returns>
    public static List<Customer> ExecDynamicProc(string searchedName)
    {
      SqlParameter[] values = new SqlParameter[]
      {
        new SqlParameter("@whereSql", "where name like @name"),
        new SqlParameter("@paramNameList","@name nvarchar(50)"),
        new SqlParameter("@paramValueList","@name='%"+ searchedName +"%'")
      };
      return DBHelper.ExecuteProc("proc_GetCustomerPagerBySearch",values);
    }

/// <summary>
    /// 从搜索类里面拼接参数化的SQL字符串
    /// </summary>
    /// <param name="search">搜索类</param>
    /// <param name="sqlParams">搜索的参数,不能传入Null</param>
    /// <returns>安全的SQL语句</returns>
    private static string GetSafeSqlBySearchItem(CustomerSearch search, ref List<SqlParameter> sqlParams)
    {
      StringBuilder safeSqlAppend = new StringBuilder();
      if (search != null)
      {
        if (!string.IsNullOrEmpty(search.NameEquals))
        {
          safeSqlAppend.Append(" and Name=@nameEquals");
          sqlParams.Add(new SqlParameter("@nameEquals", search.NameEquals));
        }
        if (!string.IsNullOrEmpty(search.NameContains))
        {
          safeSqlAppend.Append(" and Name like @nameContains");
          sqlParams.Add(new SqlParameter("@nameContains", "%" + search.NameContains + "%"));
        }
      }
      return safeSqlAppend.ToString();
    }

/// <summary>
    /// 得到分页用的SQL语句
    /// </summary>
    /// <param name="columnNameItems">要查询的列名,多个列名用逗号分隔。传入Empty或Null时,则默认查询出所有的列</param>
    /// <param name="tableName">表名,不能为Null和Empty,默认的SQL别名为a</param>
    /// <param name="joinOtherTable">连接其他的表,可以传入Null或Empty。调用的时候,可以类似如:inner join departInfo as b on a.departInfoId=b.Id</param>
    /// <param name="whereSql">搜索条件,即在“where 1=1 ”后面写条件,可以传入Null或Empty。调用的时候,可以类似如:and b.Price=@beginPrice </param>
    /// <param name="orderColumnNameAndAscOrDesc">排序的列名以及Asc或Desc,即在“order by”后面写排序项,不能为Null和Empty。比如“Id asc, name desc”</param>
    /// <param name="pageNumber">当前页的页码,最小值应该为1</param>
    /// <param name="pageSize">每页显示的记录数,最小值应该为1</param>
    /// <returns>SQL语句</returns>
    internal static string GetPagerTSql(string columnNameItems, string tableName, string joinOtherTable, string whereSql, string orderColumnNameAndAscOrDesc, int pageNumber, int pageSize)
    {
      if (string.IsNullOrEmpty(tableName))
      {
        throw new ArgumentNullException("tableName", String.Format(CultureInfo.CurrentCulture, DALResource.Common_NullOrEmpty));
      }
      if (string.IsNullOrEmpty(orderColumnNameAndAscOrDesc))
      {
        throw new ArgumentNullException("orderColumnNameAndAscOrDesc", String.Format(CultureInfo.CurrentCulture, DALResource.Common_NullOrEmpty));
      }
      if (string.IsNullOrEmpty(columnNameItems))
      {
        columnNameItems = "a.*";
      }
      if (pageNumber < 1)
      {
        pageNumber = 1;
      }
      if (pageSize < 1)
      {
        pageSize = 1;
      }
      int beginNumber = (pageNumber - 1) * pageSize + 1;
      int endNumber = pageNumber * pageSize;
      string sqlPager = string.Format("select * from (select row_number() over(order by {1}) as __MyNewId, {0} from {2} as a {3} where 1=1 {4}) as __MyTempTable where __MyNewId between {5} and {6} order by __MyNewId asc;", columnNameItems, orderColumnNameAndAscOrDesc, tableName, joinOtherTable, whereSql, beginNumber, endNumber);
      string sqlPagerCount = string.Format("select @__returnCount=COUNT(*) from {0} as a {1} where 1=1 {2};",tableName, joinOtherTable, whereSql);
      return sqlPager + sqlPagerCount;
    }

例二:登录错误次数限制及参数化传递防止SQL注入


using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Configuration;
using System.Data.SqlClient;

namespace 复习登录
{
    public partial class login : Form
    {
        public login()
        {
            InitializeComponent();
        }
        string str = ConfigurationManager.ConnectionStrings["sqlserver2008"].ConnectionString;
        DateTime dt1;
        private void btn_login_Click(object sender, EventArgs e)
        {
            using(SqlConnection cnn=new SqlConnection(str))
            {
                using (SqlCommand cmd=cnn.CreateCommand())
                {
                    cmd.CommandText = "select * from T_User where username=@username";
                    cmd.Parameters.AddWithValue("@username", txt_username.Text);
                    cnn.Open();
                    using (SqlDataReader reader = cmd.ExecuteReader())
                    {
                        if (reader.Read())
                        {
                            int Error = Convert.ToInt32(reader["Error"].ToString());
                            if (Error >= 3)
                            {

                                string sqltime = reader["Errortime"].ToString();
                                dt1 = DateTime.Parse(sqltime);
                                DateTime dt2 = DateTime.Now;
                                TimeSpan ts = dt2 - dt1;
                                if (ts.TotalMinutes < 5)
                                {
                                    MessageBox.Show("对不起,你已经输入3次连续错误密码,系统已经将账户冻结,请在五分钟后再试");
                                    return;
                                }
                                else
                                {
                                    clearerror();
                                }

                            }
                            string sqlpassword = reader["Password"].ToString();
                            if (sqlpassword == txt_password.Text)
                            {
                                clearerror();
                                if (txt_username.Text.ToUpper() == "ADMIN")
                                {
                                    this.Hide();
                                    main m = new main();
                                    m.Show();
                                }
                                else
                                {
                                    MessageBox.Show("登录成功");
                                }
                            }
                            else
                            {
                                MessageBox.Show("密码错误");
                                adderror();
                            }
                        }
                        else
                        {
                            MessageBox.Show("用户名不存在");
                        }
                        
                    }
                }
            }
        }

        private void adderror()
        {
            dt1 = DateTime.Now;
            using (SqlConnection cnn=new SqlConnection(str))
            {
                using (SqlCommand cmd=cnn.CreateCommand())
                {
                    cnn.Open();
                    cmd.CommandText = "update T_User set Error=Error+1,Errortime=@Errortime where username=@username";
                    cmd.Parameters.AddWithValue("@Errortime", dt1);
                    cmd.Parameters.AddWithValue("@username", txt_username.Text);
                    cmd.ExecuteNonQuery();

                }
            }
        }
        private void clearerror()
        {
            using (SqlConnection cnn=new SqlConnection(str))
            {
                using (SqlCommand cmd=cnn.CreateCommand())
                {
                    cnn.Open();
                    cmd.CommandText = "update T_User set Error=0 where username=@username";
                    cmd.Parameters.Add(new SqlParameter("username", txt_username.Text));
                    cmd.ExecuteNonQuery();
                }
            }
        }
    }
}
原网址:

zyw_anquan
关注
  • 6
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SQL where in 参数化查询
lprebok1的专栏
06-06 3309
6六种where参数化实现,分别如下 1.使用CHARINDEX或like实现where in 参数化 2.使用exec动态执行SQl实现where in 参数化 3.为每一个参数生成一个参数实现where in 参数化 4.使用临时表实现where in 参数化 5.使用xml参数实现where in 参数化 6.使用表值参数(TVP)实现where in 参
mysql sql参数化查询_mybatis的sql参数化查询
weixin_39766109的博客
02-17 1270
我们使用jdbc操作数据库的时候,都习惯性地使用参数化sql与数据库交互。因为参数化sql有两大有点,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数化sql的过程,以及和非参数化sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程中,如果使用的是本地的mysql的话,jav...
SQL(参数化)的查询
07-30 5146
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
正则表达式提取sql语句的@参数名,顺便修正subsonic的一个bug
weixin_33736649的博客
02-28 135
        subsonic的InlineQuery非常好用,用于执行参数Sql语句,防止被注入,其运行机制类似我之前写的《借用.net framework的string.Fromat(...),实现一个执行参数化SQL的方法》,都是先提前sql语句中的参数名,再根据参数名和传入的值动态构造Command. 贴一个官方的使用InlineQuery的示例: Northwind.Produc...
sql-查询
最新发布
2402_82898401的博客
05-11 754
为了将一个或多个表中合适的数据生成报表或在窗体中显示,可以先根据需要建立一个所需要数据的查询,将查询的结果作为报表或窗体的数据源。由逻辑运算符和逻辑型产量、逻辑型对象标识符、返回逻辑型数据的函数和关系运算符组成。由字符运算和字符型常量、字符型对象标识符、返回值为字符型数据的函数等构成的表达式。number可以是数值型常量、数值型变量、 返回数值型数据的函数和数学表达式。对象标识符可以是表中的字段名称、窗体、报表名称、控件名称、属性名称等。表达式由运算对象、运算符和括号组成,运算对象包含常量、函数和标识符。
VBA-SQL封装查询函数
qh0526wy的博客
02-16 235
vba
SQL语句中的运行时参数
suwu150
10-02 6671
运行时参数 一、运行时参数的使用     sql语句中的值,我们可以使用一个参数来代替,然后每次运行的时候都可以重新输入这个值        例如:    select last_name,salary,dept_id from s_emp where id=&id; 如上图所示,使用了运行时参数&id,其中id为变量值,如果之前没有定义,则会像图中提示的进行提示,如果以前定
SQL查询语句的使用
qq_50730941的博客
08-15 1413
说明:提取职位为 IT_PROG 的所用员工的不同的工资数额。SELECT 与 FROM 之间可以是表中的列,也可以是表达式,包括算术表达式、字符串、常数、函。说明:sysdate 是一个函数,返回服务器的时间,表达式也可以是一个计算公式。表是数据库中数据存储的逻辑单元,业务流程处理所需要得到的数据就是从数据库中的表里提取。说明:从雇员表中提取员工名字、姓氏、邮箱地址,按照姓氏排序,缺省的情况下是升序排列。说明:别名的目的是为了使提取的数据每一列有对应的名称,从而便于识别。...
参数化查询原理
王如霜
02-08 6452
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
SQL参数化查询详解.pdf
09-19
SQL 参数化查询详解 SQL 参数化查询是指在 SQL 语句中使用参数来代替具体的数值,以提高查询效率和安全性。下面对 SQL 参数化查询的原理、优点和实现方式进行详细解释。 SQL 参数化查询的原理 传统的 SQL 语句都...
SQLServer 参数化查询经验分享
09-11
SQL Server参数化查询是一种高效的查询处理技术,它允许SQL语句使用可变的参数,以减少重复编译和优化查询的开销。这种方式对于频繁执行的相似查询尤其有用,因为它们可以共享同一个执行计划,从而提升数据库系统的...
浅析SQL Server参数化查询
12-14
SQL Server参数化查询是一种编程技术,它允许开发者创建可重用的SQL语句,其中的变量部分通过参数来传递。这种技术对优化查询性能、防止SQL注入攻击以及提高代码的可读性和可维护性有着重要作用。 错误认识1:在...
pdo中使用参数化查询sql
10-28
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
SQL参数化查询的另一个理由 命中执行计划
12-15
SQL参数化查询是一种重要的优化策略,它在数据库性能优化中占据着重要地位。本文主要讨论了SQL参数化查询如何帮助数据库命中执行计划,从而提高运行效率。 首先,理解SQL的本质至关重要。SQL是一种声明式编程语言,...
SqlServer参数化查询之where in和like实现详解
12-15
SQL Server中,参数化查询是一种安全且高效的执行SQL的方式,它可以有效防止SQL注入,并在大量数据查询时提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其...
参数化查询为什么能够防止SQL注入
03-01
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
参数化sql
断肠草的专栏
07-18 677
我们原先写的sql语句总是把条件直接拼进去 这样每次的sql都是不同的 但这些sql除了条件部分不同外,其他都是一样的 sqlserver在解析sql语句的时候分了几个步骤 1 语法分析 2 生成一个执行计划 执行计划就是执行的路径 完成一个任务可以有好多条路径的 sqlserver会通过复杂的分析,来取的最优化的执行计划 3 有了执行计划后,就是实际执行这个语句了 sql执行
sqlserver参数化查询
07-13
### 回答1: SQL Server的参数化查询是一种使用参数来代替查询语句中的具体数值或字符串的查询方式。通常情况下,我们在编写查询语句时,会使用变量来表示查询条件,然后将参数查询语句绑定,最后执行查询。 使用参数化查询的好处有以下几个方面: 1. 提高安全性:通过使用参数,可以避免SQL注入攻击。当我们使用变量传递查询条件时,即使用户输入的值恶意改变查询语句,也不能执行除查询以外的其他操作。 2. 提高性能:由于参数化查询使用了预编译的方式,所以可以减少每次查询的编译开销,提高查询性能。 3. 增强可读性:使用参数可以使查询语句更加清晰易读,增加代码的可维护性。 4. 促进代码复用:由于查询条件是通过参数传递的,所以可以实现代码的复用,减少代码冗余。 在SQL Server中,我们可以使用SqlParameter类来创建参数,并将参数添加到SqlCommand对象中。具体步骤如下: 1. 创建SqlCommand对象:使用参数化查询之前,需要创建一个包含查询语句的SqlCommand对象。 2. 创建SqlParameter对象:使用SqlParameter类的构造函数来创建参数对象,需要指定参数名、参数类型、参数值等属性。 3. 添加参数SqlCommand对象:通过调用SqlCommand对象的Parameters属性的Add方法,将SqlParameter对象添加到SqlCommand对象中。 4. 执行查询:调用SqlCommand对象的ExecuteReader()方法来执行查询,并获取查询结果。 总之,使用SQL Server的参数化查询可以提高查询的安全性、性能、可读性和代码复用性。当我们需要对数据库进行操作时,尤其是涉及用户输入的查询条件时,建议使用参数化查询来避免潜在的安全风险。 ### 回答2: SQL Server参数化查询是指在执行SQL语句时,将参数作为独立的变量来处理,而不是将参数直接嵌入到SQL语句中。参数化查询可以提高查询的性能和安全性。 首先,参数化查询可以提高查询的性能。当使用参数化查询时,SQL Server可以缓存已编译的查询计划,然后在后续的查询中重用该计划。这样可以减少查询的编译时间,并且避免每次查询都重新编译查询语句,从而提高查询的执行效率。 其次,参数化查询可以提高查询的安全性。通过将参数作为独立的变量处理,可以避免SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者可以通过在SQL语句中插入恶意代码来执行未经授权的数据库操作。使用参数化查询可以防止攻击者通过注入恶意代码来破坏数据库或获取敏感数据,从而保护数据库的安全性。 此外,参数化查询还可以提高代码的可读性和维护性。通过将参数SQL语句分离,可以更清晰地理解查询的逻辑和目的。当修改查询时,只需修改参数值,并不需要修改SQL语句的结构,从而减少错误和代码冗余。 总之,SQL Server参数化查询是一种提高查询性能、安全性和代码可读性的好方法。通过将参数作为独立的变量处理,可以减少查询的编译时间、防止SQL注入攻击,并提高代码的可维护性。 ### 回答3: SQL Server参数化查询是一种使用参数来代替实际值的查询方法。参数化查询可以防止SQL注入攻击,并提高查询的性能和安全性。 在SQL Server中,使用参数化查询可以通过声明和设置参数来实现。首先,我们需要声明参数,并指定参数的名称、数据类型和大小。然后,我们可以将参数绑定到查询语句中的相应位置。 参数化查询的好处之一是可以防止SQL注入攻击。SQL注入是指通过在查询语句中插入恶意代码来攻击数据库。使用参数化查询后,查询语句中的参数值是预编译的,不会被解释为可执行的代码,因此可以有效地防止SQL注入攻击。 此外,参数化查询还可以提高查询的性能。在执行查询之前,数据库服务器会对查询进行优化,并创建查询的执行计划。当使用参数化查询时,数据库服务器可以重用生成的执行计划,避免重新编译查询语句,提高查询的执行效率。 参数化查询还可以提高查询的安全性。通过参数化查询,我们可以限制查询的输入值范围,避免不必要的访问和数据泄漏。例如,我们可以在查询中使用参数来限制返回的结果数量或指定特定的条件,从而提供更加安全的查询结果。 总而言之,SQL Server参数化查询是一种有效的查询方法,可以提高查询的性能和安全性。通过声明和设置参数,我们可以防止SQL注入攻击,并优化查询的执行计划,从而提供更高效和安全的数据库查询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值