ASP.net(c#) 在ACCESS数据库中利用参数使用存储过程例子(防SQL注入)

最新推荐文章于 2021-07-15 22:28:29 发布
原创 最新推荐文章于 2021-07-15 22:28:29 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql #access #asp.net #存储 #c#

本文介绍如何在ASP.NET中实现安全的登录功能,并通过参数化查询防止SQL注入攻击,确保应用程序安全。

我们要实现的在文本框中输入帐号,密码,按确定后,从Access数据库中检索是否帐号和密码正确,若正确,则弹出"登陆成功",错误则弹出"登陆失败".而这我们要用参数使用存储过程实现.

首先我们要建一张表,打开access数据库,在查询下的SQL视图输入:

create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)

这样我们就建好了一张名为admin_table的表.


再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录

insert into admin_table(acc_name,acc_password)
values('admin','admin888')

注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!


接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:

 

在default.aspx.cs中用我们以前的做法,代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }    }

    protected void Button1_Click(object sender, EventArgs e)
    {

            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand(cmdText, conn);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

在我们输入正确的admin和admin888后弹出:

 

然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是

admin' or '1=1
其结果是:

 

为什么会这样呢?理由很简单.其实根据

string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
那么你输入的

admin' or '1=1
等同于:

string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";
明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.

修改后的代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
            //定义连接字符串
            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
            OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraName.Value = this.tbxName.Text;
            cmd.Parameters.Add(paraName);
            OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraPassWord.Value = this.tbxPassWord.Text;
            cmd.Parameters.Add(paraPassWord);            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

 下面这部分代码最关键:

OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);
需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.

这次我们再次输入下面:

 

结果:

 


总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.

 

本文来自优快云博客,转载请标明出处:http://blog.youkuaiyun.com/zky0901/archive/2008/05/04/2387021.aspx

ASP.NET 使用C#连接Access数据库的相对路径写法
m0_47037246的博客
09-29 784
在连接Access数据库时,我们可以使用相对路径来指定数据库文件的位置。下面是一份详细的教程,展示了如何使用C#代码连接Access数据库使用相对路径。在上面的代码中,我们创建了一个OleDbCommand对象,并将SQL查询字符串和连接对象传递给它。在本教程中,我们将数据库文件命名为"Database.mdb"并将其放置在项目的根目录下。通过使用上述步骤,您可以在ASP.NET应用程序中使用C#代码连接Access数据库使用相对路径来指定数据库文件的位置。添加Access数据库文件。
非常实用c#操作Access数据库例子(application)
10-13
本文介绍C#访问操作Access数据库的基础知识,并提供一个相关的例程。 1.通过ADO.NET的OleDb相关类来操作Access 主要知识点如下: using System.Data.OleDb; using System.Data; 连接字符串:String connectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=product.mdb"; 建立连接:OleDbConnection connection = new OleDbConnection(connectionString); 使用OleDbCommand类来执行Sql语句: OleDbCommand cmd = new OleDbCommand(sql, connection); connection.Open(); cmd.ExecuteNonQuery(); 2.取得Access自增标识字段在插入数据后的id值 cmd.CommandText = @"select @@identity"; int value = Int32.Parse(cmd.ExecuteScalar().ToString()); return value; 3.执行事务 需要用到OleDbTransaction,关键语句如下: OleDbConnection connection = new OleDbConnection(connectionString); OleDbCommand cmd = new OleDbCommand(); OleDbTransaction transaction = null; cmd.Connection = connection; connection.Open(); transaction = connection.BeginTransaction(); cmd.Transaction = transaction; cmd.CommandText=sql1; cmd.ExecuteNonQuery(); cmd.CommandText=sql2; cmd.ExecuteNonQuery(); transaction.Commit(); 4.执行查询,返回DataSet OleDbConnection connection = new OleDbConnection(connectionString); DataSet ds = new DataSet(); connection.Open(); OleDbDataAdapter da = new OleDbDataAdapter(sql, connection); da.Fill(ds,"ds"); 5.分页查询 分页查询使用OleDbDataReader来读取数据,并将结果写到一个DataSet中返回。 以上内容封装为三个可重用的类:AccessDBUtil,AccessPageUtil,Page 代码这里下载AccessDBUtilDemo.rar (191.37 KB , 下载:999次) 本例程是一个c#的winform程序,但是数据访问类可以在Web环境下使用。 本例程演示了: 1.Access数据库的插入,更新,修改,查询; 2.参数sql语句的使用,而不是拼SQL; 3.使用DataReader的分页查询,而不是用嵌套的SQL语句来分页; 4.用事务同时执行多个SQL语句; 5.在插入数据的同时返回最新的ID值; 6.整型,实型,字符串,日期型,布尔型五种数据类型的操作; 7.使用正则表达式来验证整数和实数; 8.listview用来显示数据的一些基本用法。 本示例不包括: 1.高效的分页查询,仅仅是提供了一种分页的方法,但我认为DataReader应该比嵌套的SQL语句快(未测试)。 2.完善的分页封装,只提供了分页的简单包装。 3.嵌套的事务处理,提供了同时执行多个sql语句的事务处理,但不支持嵌套事务。 4.listview的使用,只是利用winform控件来演示数据访问,因此不能作为winform编程的良好示例,例如添加数据时界面并没有很好地更新。
C#执行ACCESS存储过程
luwq168的专栏
09-05 1275
ACCESS存储过程实际上就是Update、Insert
access数据库创建存储过程
05-17
access数据库创建存储过程,通过查询分析器创建查询完成“存储过程
Access存储过程
注重长远 天天积累 cqujsjcyj
06-07 492
Access存储过程     摘自:http://study.qqcf.com/web/717/228973.htm     一. ACCESS是用QBE的,不是SQL没有存储过程  二、 access里有存储过程,在access里新建一个查询本身就是一个存储过程语发的变量不用声明select * from tablename where id=@var在asp.net里调用...
C#Access数据库用储存过程查询
qq_31178679的博客
07-15 531
Access数据库中创建查询过程 关掉这个对话框,右键弹出菜单中选择SQL视图 在这里用SQl语句编辑查询 完了关闭界面弹出保存查询 在C#中就可能像SQL数据库一样用储存过程来操作了. 自己封装的函数一个不参数列表的,一个参数列表 /// <summary> /// 用储存过程查询 /// </summary> /// <param name="cuCunGocen"></pa.
ASP.NET C# 连接 access sqlserver 数据库
12-14
ASP.NETC#连接数据库主要是连接SQL Server和Access数据库,这两者区别不大。很多开发者第一次配置费了不少劲,微软的产品会遇到问题,能遇到的问题都遇到了,今后数据库基本都能连接。  连接Access  首先看...
ASP.NET C#实现Access数据库增删改查操作
- SQL注入问题:在使用SQL语句时,应当使用参数化查询来SQL注入攻击。 - 异常处理:在数据库操作中应当妥善处理可能出现的异常。 - 性能考虑:对于频繁的数据库访问操作,应当优化SQL语句和数据库设计,减少不必...
掌握ASP.NET C#Access数据库的增删改查操作
下面,我们将详细探讨在ASP.NET使用C#操作Access数据库实现添加、删除、修改和查询操作的知识点。 首先,开发环境和工具是实现功能的基础。本例中提到的是使用Visual Studio 2005作为开发环境,这是一个为.NET...
学生选课系统实现:ASP.NET C#Access 数据库整合
- 数据库设计:在Access数据库中设计好所需的数据表,例如学生表(存储学生信息)、课程表(存储课程信息)、选课表(存储学生选课信息和成绩)。每个表都要有明确的字段,例如学生ID、姓名、课程ID、课程名等。 - ...
简述在Access使用存储过程
weixin_30394669的博客
07-09 283
  很多人问起在Access数据库中怎样使用存储过程,其实Access中没有存储过程,我们说的Access中的“存储过程”是指在Access中通过内置的查询表来操作数据,从而大大优化ASP查询的执行速度,下面就简要介绍如何在Access使用存储过程”。 例一:首先我们在Access中做一个非常简单的delete查询。 现假设有一个Table1表,我们要删除id<...
ACCESS里面创建参数存储过程
5653325的专栏
01-06 2070
需要注意的是page_load里面的创建存储过程只能执行一次,如果第二次还要创建同名的话会提示错误信息“存储过程已经存在。”,其实加个判断就行了。懒得加了,只是用来试验一下。 调试环境 ASP.NET 2.0(编译工具VS2008),代码C#access版本2003 protected void Page_Load(object sender, EventArgs e) { OleDbCon...
创建ACCESS存储过程
lisky119的专栏
05-28 1267
〖转〗创建ACCESS存储过程Access自身的帮助中看到了Create Procedure语句。测试了老半天,终于发现了诀窍:必须使用OleDb连接才能使用Create Procedure语句。ODBC连接不支持该语句,提示Create Table语法错误。创建了存储过程后,使用Office Access工具打开数据库,在“对象 - 查询”中能够看到你创建的存储过程。创建存储过程
c# 登录 sql注入 mysql数据库
weixin_30872867的博客
10-04 400
利用参数SQL注入 public string serachName(string name) { string result = ""; try { conn.Open(); ...
一条写出Access数据库存储过程的捷径
10-30 141
看前面那篇Access中的存储过程的日志我们知道Access中的查询扮演这Access存储过程的角色,在写存储过程的时候,遇到烦一点的查询语句就经常会因为一些小小的粗心啊大意啊什么的让我们的程序无法运行,现在有一条生成存储语句的捷径:1.新建一个查询,选择设计视图2.在这里我们选择存储过程中所有需要用到的数据表3.我们在这个页面设计查询中表之间的关系,双击选择需要查询出来的字段4.点击...
NET下面调用Access存储过程的方法
09-30 3416
         在Sql Server中使用存储过程是大家都比较熟悉的了,前不久自己作了一个小东东,数据库使用的是MS Access数据库,也想着试试用存储过程是否可行。毕竟,存储过程与代码的关系不是非常大,数据库存储过程的修改有些是不用更改编码的。下面贴出我的代码,大家会发现,其实跟调用Sql Server的存储过程是完全一样的,不同的仅仅在于存储过程的名称。       以删除人员信息
存储过程如何在Access里工作?
幸福的猪的专栏
12-08 1206
不像在Access里的其它的对象,存储过程没有用户界面,并且不能在Access的界面里创建。 要建立它们的方法只有编码。我将示范如何在ADO.NET中实现这些代码。 当一个存储过程被添加到Access数据库时,JET Engine会把存储过程转换到一个查询对象。 对一个Access开发者而言,这就象编写一个简单的查询,是不必要的工作。 然而,它确实有它的优点。考虑一下,一个应用系统必须为了分开
Access数据库注入方法及
xabc3000的专栏
05-30 3449
Access数据库想对于MsSql来说可谓小巫见大巫,但是Acc的数据库在目前国内还是有一定的市场,其注入也很灵活。相信你看完本文就会了解到Access也是很强大的。 一,基础篇 1、猜解表名,这里借用啊D的语句: and exists (select * from 表名) 2、猜解列名: and exists (select 字段 from 表名) UNION法,在执行union之前
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值