防止SQL注入-参数化SQL例代码asp.net

最新推荐文章于 2018-04-27 11:18:07 发布
原创 最新推荐文章于 2018-04-27 11:18:07 发布 · 516 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个使用C#和SQL进行数据更新和插入的例子。包括如何构建SQL语句来更新现有记录以及如何插入新记录。展示了参数化查询的使用以避免SQL注入攻击。

/// <summary> /// 更新一条数据 /// </summary> public void Update(Web.Model.T_Class model) { StringBuilder strSql = new StringBuilder(); strSql.Append("update T_sadfsd set "); strSql.Append("CName=@CName,"); strSql.Append("CFatherID=@CFatherID"); strSql.Append(" where CID=@CID "); SqlParameter[] parameters = { new SqlParameter("@CID", SqlDbType.Int,4), new SqlParameter("@CName", SqlDbType.NVarChar,50), new SqlParameter("@CFatherID", SqlDbType.Int,4)}; parameters[0].Value = model.CID; parameters[1].Value = model.CName; parameters[2].Value = model.CFatherID; DbHelperSQL.ExecuteSql(strSql.ToString(), parameters); }
========================================================================================================================= 
     

      string
       sql 
      =
       
      "
      insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Remark,@Mail,@DepartId,@Power)
      "
      ;
        SqlConnection connection 
      =
       
      new
       SqlConnection();
        connection.ConnectionString 
      =
       
      ""
      ;
      //
      此处设置链接字符串
      

              SqlCommand command 
      =
       
      new
       SqlCommand(sql, connection);
        command.Parameters.Add(
      "
      @UserName
      "
      ,SqlDbType.NVarChar, 
      60
      ).Value 
      =
       userName;
        command.Parameters.Add(
      "
      @Password
      "
      , SqlDbType.NVarChar, 
      60
      ).Value 
      =
       password;
        command.Parameters.Add(
      "
      @Remark
      "
      , SqlDbType.NVarChar, 
      60
      ).Value 
      =
       remark;
        command.Parameters.Add(
      "
      @Mail
      "
      , SqlDbType.NVarChar, 
      60
      ).Value 
      =
       mail;
        command.Parameters.Add(
      "
      @DepartId
      "
      , SqlDbType.Int, 
      4
      ).Value 
      =
       departId;
        command.Parameters.Add(
      "
      @Power
      "
      , SqlDbType.Int, 
      4
      ).Value 
      =
       power;
        connection.Open();
        
      int
       rowsAffected 
      =
       command.ExecuteNonQuery();
        connection.Close();
        command.Dispose();
        
      return
       rowsAffected 
      >
       
      0
      ;

     

     

      =========================================================================================================================
精选资源
ASP.NET防止SQL注入的方法示
01-20
因此,更推荐结合其他更强大的防护手段,如使用ORM框架(如Entity Framework)或SQL参数化查询,以及使用OWASP的ESAPI库进行输入验证。 最后,对于开发者来说,时刻保持对安全性的警惕至关重要。定期进行代码审计,...
精选资源
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
总之,虽然参数化查询是防止SQL注入的首选方法,但SqlFilter类提供了一个可行的补充方案,尤其适用于那些难以立即进行架构调整的老项目。通过在应用层面上增设此类过滤机制,可以有效地提升应用程序的安全性。当然,...
asp.net设置数据访问类(sql参数化
WithHeartAndSoul的专栏
08-07 833
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Data.SqlClient;using System.Data;namespace MyCommunityDAL{    public static class GetConnection    {        private static SqlConnection _connection;        ///
参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET ...
weixin_33897722的博客
03-09 251
防止SQL注入漏洞攻击的有两种方法: 1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法, 2)参数化查询SQL语句 举如下: //实化Connect...
.NET参数化查询数据库
09-04 928
一直关注博客园,只看不写不厚道,所以就进园子了!初来乍道,先写点自己的一些小小心得!   刚学习C#编程的时候,对数据库进行查询,以下是查询程序部分。 using (SqlConnection con =new SqlConnection()) {   con.ConnectionString ="************************";   con.Open();
最简单有效的SQL注入的两种方法
ddy2000的专栏
08-22 850
数据库系统,一个重要的问题是防止注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
关于防止sql注入的几种手段
轩辕一战
11-24 1006
 转自:http://www.cnblogs.com/perfectdesign/archive/2009/11/24/sqlinjection1.html   关于防止sql注入的几种手段(一) 其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这
精选资源
ASP.NET编程知识】ASP.NET防止SQL注入的方法示.docx
05-20
如,在 ASP.NET 中,我们可以使用 SqlParameter 对象来参数化查询语句,从而防止恶意的 SQL 代码。 2. 传统的笨一点的办法 如果我们不想使用参数法防注入,可以使用传统的笨一点的办法。这种方法是通过在 Global...
asp.net 防止SQL注入攻击
10-29
同时,数据库操作应该总是使用参数化SQL查询或者存储过程,以消除SQL注入的风险。 总结来说,通过在Global.asax中配置Web.config中的安全参数设置,并且利用parameterCheck.cs数据验证类进行输入验证,可以在整个...
C# asp.netsql like in 参数化
编程技术文档
01-27 7153
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
C# 使用参数化SQL语句
热门推荐
我的编程世界
02-13 2万+
之前实现的用户登录窗体,我们在用户名和密码框中都输入1‘ or ‘1’=1’,如下图所示。单击“登录“按钮后,你会发现竟然也能进入主窗体!我们输入的名户名和密码并不正确,为何也能进入系统呢? 登录成功后,显示的主窗体,如下图: 这就涉及到了“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。就这个窗体
SQL参数化排序详解
soarheaven的专栏
10-22 2105
编写一个储存过程usp_GetSortedShippers,它接收Northwind数据库中Shippers表的一个列名称作为其中一个输入(@colname),并从该表返回按输入的列名排序的行。另一个输入(@sortdir)表示排序的方向,‘A’表示按升顺排序,‘D’表示按降序排序。编写该存储过程时要注意它的性能,即,尽可能的使用索引(如,排序列上的聚集或非聚集覆盖索引)。 代码清单7-4是
ADO.NET(四) 参数化sql和简单的 增删改查
11-23 4192
ExecuteScalar()方法通过SELECT语句返回查询结果中的第一行第一列的值,该方法常用于执行返回单个字段的 查询,如count(),max()等。 ExecuteNonQuery()方法执行返回结果集的命令,如insert delete update。这个方法返回一个信息--受影响的 行数,如果不是insert delete update 则返回-1。 为了防止sql注入漏洞我
Sql语句防止注入方法
乐杨俊浅谈LAMP
10-17 1783
如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");   因为用户可以输入:value'); DROP TAB
sql-为什么占位符可以防止sql注入
登峰小蚁
04-27 7094
为什么占位可以防止sql注入,不从什么预编译的角度来将,直接上源码,下面是mysql jar包中的setString方法。以select * from user where id = ?语句为,传入1 or 1=1 ,如果是最后sql为select * from user where id = 1 or 1=1,那么显然会查出所有的数据,但实际没有,为什么?因为传入的参数经过下面的处理,会在前后...
ASP.NET参数化查询
whaxrl的专栏
04-10 2009
一、参数化查询原理 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入
asp中实现sql语句参数化查询
weixin_30721077的博客
07-22 654
var conn = Server.CreateObject("ADODB.Connection"); conn.ConnectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + Server.MapPath("Test.mdb"); conn.Open(); var cmd = Server.CreateObject...
利用sql预处理语句 防止sql注入
grace_fang的博客
10-12 1122
写一个简单的登陆系统 前端代码 登录页面 username: password: > 后台提交至 doLogin.php <?php header('content-type:text/html;charset=utf-8'); $mysqli=new mysqli('localhost','root','','test'); if($mys
ASP.NET与VB.NET防止SQL注入攻击详解及源码分享
本文件标题为“asp.net和vb.net 防止sql注入源码”,其内容围绕ASP.NET与VB.NET平台,提供了防止SQL注入攻击的实践代码,旨在帮助初学者理解并掌握如何在实际项目中抵御SQL注入风险。 ### 一、SQL注入的基本原理与...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值