ASP.NET参数化SQL语句(SQL SERVER)

最新推荐文章于 2021-03-12 11:17:43 发布
原创 最新推荐文章于 2021-03-12 11:17:43 发布 · 2.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp.net #sql注入 #参数化 #sql server

本文介绍了在SQL SERVER中使用参数化查询防止SQL注入的方法。通过对比普通查询与参数化查询的区别,详细展示了如何通过实例化Connection、Command及DataAdapter对象来实现安全的数据库查询操作。

设计项目时,为了防止SQL注入,有很多种方法,一种是通过编写存储过程来防止SQL注入,使用这种方法可以提高性能,但是对于查询语句可能存在多种不同的SQL语句,这就要编写很多存储过程,还有一种方法是通过参数化,在这里只介绍一下SQL SERVER的。

先来介绍查询:

普通的查询语句(未将密码加密):

 

select top 1* from adminDB where username='admin' AND password ='admin'


采用参数化方式后的:

 

select top 1* from adminDB where username=@USERNAME AND password =@PASSWORD

具体实现:

 

Select:

 

//实例化Connection对象 我的数据库名是Management
SqlConnection connection = new SqlConnection("server=.;database=Management;uid=sa;pwd='sadasds'"); 
//实例化Command对象 
SqlCommand command = new SqlCommand("select top 1* from adminDB where username=@USERNAME AND password=@PASSWORD); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@USERNAME", username); Management
SqlConnection connection = new SqlConnection("server=.;database=Management;uid=sa;pwd='sadasds'"); 
//实例化Command对象 
SqlCommand command = new SqlCommand("select top 1* from adminDB where username=@USERNAME AND password=@PASSWORD); 
//第一种添加查询参数的例子 
command.Parameters.AddWithValue("@USERNAME", username); 
command.Parameters.AddWithValue("@PASSWORD",password);
//实例化DataAdapter 
SqlDataAdapter adapter = new SqlDataAdapter(command); 
DataTable data = new DataTable();


Select带like的:

string strSql = "select * from adminDB where username like '%'+ @username + '%'";
SqlParameter[] Parameters=new SqlParameter[1];
Parameters[0] = new SqlParameter("@username", username);

Select带IN:

 

string strSql = "select * from adminDB where username in ('+@username+')";
SqlParameter[] Parameters = new SqlParameter[1];
Parameters[0] = new SqlParameter("@add", "aa,bb,cc,dd,ee,admin,peter,sam");

 

 

 

 

 

 

 

 

 

 

 

 

asp.net sql
10-24
asp.net连接sql的例子。包括了页面传值等功能
ASP.NET面试宝典(附赠经典SQL语句查询)
12-30
ASP.NET面试宝典(附赠经典SQL语句查询).doc
ASP.NET + SQL SERVER 自主学习系统
02-02
SQL学习,共享给大家看看学习!也是看资料买的工具,分享大家
asp.net设置数据访问类(sql参数化
WithHeartAndSoul的专栏
08-07 833
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data.SqlClient;using System.Data;namespace MyCommunityDAL{    public static class GetConnection    {        private static SqlConnection _connection;        ///
ASP.Net学习之常用SQL存储过程
11-29 1985
ASP.Net项目中使用存储过程,首先可以提高数据库的安全性,其次可以提高运行SQL代码运行的速度,在大型项目中一般是必不可少的。Visual Studio.NetSQL的存储过程提供了强大的支持,您既可以通过visual studio.net来新建存储过程,也可以直接在Sql Server的查询分析器中运行,还可以通过企业管理器创建,使用起来也非常方便。大家一直都误认为SQL存储过程是一个比
精选资源
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
这种方法特别适用于那些动态拼接SQL语句的应用,尤其是当完全迁移到参数化查询还不现实或需要时间完成的时候。通过引入SqlFilter类,开发者可以在应用层面上过滤掉潜在的SQL注入点,大大降低了攻击的风险。 ...
精选资源
ASP.NET防止SQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
ASP.NET中操作SQL数据库(连接字符串的配置及获取)
10-27
ASP.NET中,与SQL Server数据库进行交互是常见的任务,这通常涉及到配置连接字符串和使用ADO.NET组件。...此外,应使用参数化查询以防止SQL注入攻击,并确保事务处理和错误处理机制以提高数据完整性。
asp执行带参数的sql语句实例
10-25
ASP(Active Server Pages)开发中,执行带...总之,通过参数化SQL语句ASP开发者可以确保用户输入的数据不会直接拼接到SQL查询中,从而提高应用的安全性。这种方法不仅防范了SQL注入,还使得代码更易于维护和调试。
精选资源
ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
05-20
例如,在 ASP.NET 中,我们可以使用 SqlParameter 对象来参数化查询语句,从而防止恶意的 SQL 代码。 2. 传统的笨一点的办法 如果我们不想使用参数法防注入,可以使用传统的笨一点的办法。这种方法是通过在 Global...
asp.netsql语句封装在类库中
weixin_30318645的博客
09-16 238
sql语句封装在cs中,通过类库的引用使用他的select、update、insert 源代码(cs): using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; //包括from、where、gr...
asp.net/c#下用参数化SQL访问时间字段
angyunyao1518的博客
04-03 194
Access下的SQL语句Sql Server下有所不同,我在将Sql Server数据库改为Access数据库的时候,遇到些小小的挫折,稍作总结,以备参考。 假设有表Article, Article有字段EditTime,类型为“日期/时间”型,以修改EditTime为例。 voidUpdate(intnArticleID,stringstrTitle,...
ASP.NETSQL语句
浓汤拉面的专栏
03-11 811
ASP.NET中操作SQL数据库
gyzsky的专栏
06-24 1050
在WebConfig中配置数据库连接字符串,代码如下:           然后在Webform_1.aspx.cs里面获取连接字符串,要添加如下引用; using System.Configuration; using System.Data; using System.Data.SqlClient;   代码: SqlConnection con;
C# asp.netsql like in 参数化
编程技术文档
01-27 7155
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
Ado.Net SQL语句参数化SqlParameter用法)(多条件模糊查询的实现)
胡林的博客
04-19 6123
Ado.NetSQL语句参数化 winform多条件迷糊查询的实现 SqlParameter实现方式
.net mysql参数化查询,ASP.NET中的mysql参数化查询
weixin_39836726的博客
03-12 246
我正在处理参数化查询,但结果不正确这是我的代码public MySqlCommand Get_Login(string clinetID, string loginID, string password, string branchID){MySqlCommand objCommand = new MySqlCommand(this.Query);objCommand.Parameters.Add...
asp.net 参数形式写sql
weixin_30248399的博客
04-21 132
OracleConnection conn = c.GetConnection(); OracleCommand cmd = new OracleCommand(); cmd.Connection = conn; cmd.CommandText = "update t_user set U_ACCOUNT=:U_ACCOUNT,U_NA...
ASP.NET网站开发——SQL八大字句
李涵昀应用开发的博客
04-02 279
1.from.....in 字句例子:select * from txts where name in (select name from txt2 where chk = 0) select * from txts where name not in (select name from txt2 where chk = 0) In:等值连接,用来查找多表相同字段的记录 Not In:非等值连接,...
ASP.NET页面操作SQL语句的实现方法
在讨论如何在ASP.NET中通过页面执行SQL语句之前,我们需要了解ASP.NET是什么,以及它如何与SQL(Structured Query Language,结构化查询语言)交互来操作数据库。ASP.NET是微软推出的一个用于构建动态网页的框架,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值