简单解决在ado.net中防止SQL注入

最新推荐文章于 2021-03-24 05:39:20 发布
原创 最新推荐文章于 2021-03-24 05:39:20 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #程序开发 #web #cmd

本文介绍了一种简单的方法来预防SQL注入攻击,通过使用参数化查询,可以有效避免恶意输入导致的安全问题。

在程序开发过程系统安全是应该是开发人员关注的地方,特别是网站更加值得去关注,我们在开发用户登录的功能中有可能会给一些破坏者留有余地,例如SQL的注入问题,如何简单去解决这个问题呢?

 SqlConnection conn =
new SqlConnection("Data Source=localhost;Initial Catalog=web;");
SqlCommand cmd = conn.CreateCommand();
cmd.CommandText = "SELECT roles FROM web WHERE username=@username " +
"AND password=@password";

// Fill our parameters
cmd.Parameters.Add("@username", SqlDbType.NVarChar, 64).Value =Username.Value;
cmd.Parameters.Add("@password", SqlDbType.NVarChar, 128).Value = Password.Value
// Execute the command
conn.Open();
SqlDataReader reader = cmd.ExecuteReader();

上面的代码就可以简单的解决SQL注入的问题,同时也悟出一个道理,在口令校验过程中不要太信任输入数据的清白。

 

pjchen
关注
5步让C#数据库‘秒连’!ADO.NET实战:从SQL注入到事务的魔法防御
java专栏
03-18 823
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
ado.net防止sql注入
Hello World
12-15 2298
简介:当web平台真正上线之后,遇到的问题之一就是黑客攻击的问题,攻击的手段中常用的手段就是DDOS和sql注入,关于DDOS攻击,也就是分布式拒绝服务式攻击,就是黑客黑掉大量pc机之后,发下命令,全部被黑的机器同时去访问服务器,当超出服务器的负载时,服务器就是down掉,也就达到了一定的目的,这种攻击,在程序中用技术是解决不了的,最简单的办法就是拼money,加大带宽,服务器等等,其他的方法,就
ADO.NET 防止SQL注入
dietaolai0705的博客
08-20 238
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 推荐方法:再给命令发送SQL语句的时候分两次发...
使用ADO.NET的参数集合来有效防止SQL注入漏洞
weixin_33670713的博客
12-19 245
SQL注入漏洞是个老话题了,在以前做ASP做开发时,就经常需要用字符串的过虑等方式 来解决这个问题,但有时候确做的不够彻底,往往让黑客钻了空子。   那么目前在我们.NET中,不管是用WINFORM开发还是用WEBFORM,连接数据库时都 可以使用ADO.NET,在ADO.NET中,可以设置和获取命令对象的参数来有效的防止SQL 注入问题。不过,在网上查看很多有关ASP.NET的防注入...
ADO.NET基础学习-----四种模型,防止SQL注入
07-10 165
1.ExcuteNonQuery   执行非查询语句,返回受影响的行数。 1 // 1.ExcuteNonQuery 2 3 string sqlconn = "Data Source=wss;Initial Catalog=TextDB;User ID=sa;Password=w778764;Integrated Sec...
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
ado.net实现对sqlServer数据库的操作.docx
07-10
在本文档中,我们使用的是 SqlConnection 类,它是 ADO.NET 中用于连接 SQL Server 数据库的类。 在连接数据库成功后,可以使用 SqlCommand 对象来执行 SQL 语句。SqlCommand 对象有两个主要的方法:...
ADO.NET自己封装SqlHelper类
04-21
.NET框架中,ADO.NET是用于访问数据库的主要技术,它提供了与各种数据库系统交互的接口。在实际开发中,为了提高代码的复用性和可维护性,开发者常常会自封一个SqlHelper类来简化数据库操作。这个SqlHelper类通常...
ADO.NET 占位符(防SQL 注入攻击)
diaomen1607的博客
07-08 247
当在添加程序中注入攻击时在控制台应用程序中可以这样写: 请输入编号:U006 请输入用户名:无敌 请输入密码:1234 请输入昵称:呵呵 请输入性别:True 请输入生日:2000-1-1 请输入民族:N004');update Users set PassWord='0000';-- 添加成功! 这样,不仅添加成功一条数据,而且数据库中Users表里的所有数据的密码都...
mysql 自带防注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 734
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
ado sql操作及防止注入
06-25 237
/*sql.Format(_T("delete from SELLINFO where Merchandise ='%s'"), m_name); m_pConnection->Execute((_bstr_t)sql, NULL, adCmdText); m_list.DeleteItem(pos);*/ //ÑéÖ¤sql×¢ÈëÎÊÌâ //_ConnectionP...
ado.netsql注入实例
ximengtiankong的专栏
06-18 389
<br /> 1    publicbool IsInsert(string userName, string password, string remark, string mail, int departId, int power)<br /> 2    {<br /> 3        string sql ="insert into S_Admin(UserName,Password,Remark,Mail,DepartId,Power)values(@UserName,@Password,@Rem
ADO.NET连接数据库防止SQL注入
松一160
06-16 1581
防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值 SQL注入实例演示: 登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 构造恶意的Password:hello' or 1=1 --  if (dataReader.Read()) {      
(2)C#之ADO.Net 如何解决SQL注入漏洞攻击
weixin_30338743的博客
10-19 189
SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句: 1 "select * from T_stuff where name = '"+txtbox1.text+"'"; 其中txtbox1是一个textbox控件,正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。 但是...
ADO.NET学习之防止SQL注入,存储过程,SqlDataReader
了凡
06-09 2132
ADO.NET学习之防止SQL注入防止SQL注入使用参数化查询来防止SQL注入 // Parameterized query. @ProductName is the parameter string Command = "Select * from tblProductInventory where ProductName like @ProductName";
wpf mysql注入_也谈C#.NET防止SQL注入式攻击 - jacky73 - 博客园
weixin_33443597的博客
01-19 212
#region 防止sql注入式攻击(可用于UI层控制)////// 判断字符串中是否有SQL攻击代码,by fangbo.yu 2008.07.18////// 传入用户提交数据/// true-安全;false-有注入攻击现有;public bool ProcessSqlStr(string inputString){string SqlStr = @"and|or|exec|execute|...
net如何防止mysql注入,防止SQL注入的ASP.NET方法实例解析
weixin_33470084的博客
03-24 242
最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。1、新建Global.asax文件。2、加入如下代码:void Application_BeginRequest(object sender, EventArgs e){bool result = false;if (Request.RequestType.ToUppe...
net如何防止mysql注入_C#和MySQL .NET连接器-有什么方法可以防止泛型类中的SQL注入攻击?...
weixin_34323587的博客
02-11 255
我的想法是通过C#(3.5)Winforms应用程序通过MySQL .NET Connector6.2.2与MySQL数据库创建一些通用类,以用于Insert / Update / Select。例如:public void Insert(string strSQL){if (this.OpenConnection() == true){MySqlCommand cmd = new MySqlCo...
Ado.NET基础教程:参数化查询防止SQL注入
"Ado.net基础学习,关注参数化查询以防止SQL注入,讲解Ado.net中的Connection、Command、DataReader、DataAdapter等对象以及数据库操作步骤" 在Ado.net基础学习中,参数化查询扮演着至关重要的角色,特别是在Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值