参数化防止注入

最新推荐文章于 2021-03-21 15:11:20 发布
最新推荐文章于 2021-03-21 15:11:20 发布
阅读量195 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 java php
原文链接:https://yq.aliyun.com/articles/597493
本文介绍了两种SQL参数化方法来防止SQL注入攻击,一种适用于小型数据库应用,另一种通过创建临时表来处理大量数据查询,有效提升性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用到数据库 总逃不过要参数化防止注入 因为有些程序员代码写的简单不完善就给了 一些人钻漏洞的机会 有些还好只是进入你的数据库 有些就恶意篡改你的内容 这就自认倒霉了
具体如何防止 为何防止 我就不贴了 百度一大堆 我就粘贴一下两个参数化防止注入的方法
方法一 :常用的 当数据库内容不多的时候 (推荐)

 string strsql = "insert into Student(Name,Gender,Banji,Student_ID,Phone,QQ,Describe,Time) values (@Name,@Gender,@Banji,@Student_ID,@Phone,@QQ,@Describe,@Time)";
            SqlParameter[] paras = { new SqlParameter("@Name",name),
                                      new SqlParameter("@Gender",gender),
                                  new SqlParameter("@Banji",banji),
                                  new SqlParameter("@Student_ID",studentid),
                                  new SqlParameter("@Phone",phone),
                                  new SqlParameter("@QQ",qq),
                                  new SqlParameter("@Describe",describe),
                                  new SqlParameter("@Time",time)
                                  };


                                     /// <summary>
    /// 对连接执行 Transact-SQL 语句并返回受影响的行数。错误返回-1
    /// </summary>
    /// <param name="sqlstr"></param>
    /// <param name="para"></param>
    /// <returns></returns>
    public bool executeSql(string sqlstr, SqlParameter[] para )
    {
        int i = -1;
        conn.Open();
        SqlCommand sc = new SqlCommand(sqlstr, conn);
        try
        {
            foreach (SqlParameter item in para)
            {
                sc.Parameters.Add(item);
            }
            i = sc.ExecuteNonQuery();
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
        finally
        {
            sc.Dispose();
        }
        return i > 0;
    }

方法二:
使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,
可以根据需要写个通用的where in临时表查询的方法,以供不时之需,个人比较推崇这种写法,
能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的IO开销,
若查询频率很高,每次的数据不多时还是建议使用方案3,
若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升(强烈推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
    conn.Open();
    SqlCommand comm = new SqlCommand();
    comm.Connection = conn;
    string sql = @"
        declare @Temp_Variable varchar(max)
        create table #Temp_Table(Item varchar(max))
        while(LEN(@Temp_Array) > 0)
        begin
            if(CHARINDEX(',',@Temp_Array) = 0)
            begin
                set @Temp_Variable = @Temp_Array
                set @Temp_Array = ''
            end
            else
            begin
                set @Temp_Variable = LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1)
                set @Temp_Array = RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1)
            end    
        insert into #Temp_Table(Item) values(@Temp_Variable)
        end    
        select * from Users(nolock) where exists(select 1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID)
        drop table #Temp_Table";
    comm.CommandText = sql;
    comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
    comm.ExecuteNonQuery();
}

第二种 我自己还没太懂 毕竟学的比较浅

pdo调用方法以及防sql注入原理
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行防护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
对传入where条件的sql语句进行参数化处理
l403256384的专栏
04-02 3584
一般对sql参数化处理都是在sql语句执行的地方对所要输入的参数进行参数化防止注入。但有时候会碰到一些特殊情况。一些老的项目可能会在逻辑处理的地方执行sql语句 而sql语句的where条件来自web层调用此方法的地方。 针对这种情况需要对where条件进行处理。我采用的是对where条件进行拆分处理组装List和where语句。 首先通过递归对条件进行拆分。 public void
PDO防注入原理分析以及使用PDO的注意事项
老张的自言自语
03-24 374
  我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么?   一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored proceduresMany of the...
mysql绑定参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
php mysql pdo 防注入,Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_33685133的博客
03-21 199
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
使用参数防止SQL注入
weixin_30794499的博客
12-29 213
SQL注入的威力是不可忽视的,下面我们主要介绍防范方法——使用参数化SQL。对于不同的数据供应器都有对就的 Parameter 来表示SQL语句或者存储过程中的各种参数参数数据库字段的真实类型——对应,所有参数的值会仅仅被认为一个参数。因此,在参数中任何SQL语句都是没有意义的。 string sConnectionString = @"Server=(local)\SQLEXPRESS...
参数化查询为什么能够防止SQL注入
weixin_30646315的博客
06-12 618
多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 首先:我们要了解SQL收到一个指令后所做的事情: 在这里,简单的表示为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 具体可能有点不一样,但大致的步骤如上所示。 接着我们来分析为什么拼接SQL 字符串...
防止GET和POST方式引起的SQL注入攻击ASP程序
01-11 5101
编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。IIS传递给asp.dll的get 请求是是以字符串的形式,当传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,
java 参数过滤,防止异常注入
qq_512902011的博客
10-17 1504
方式客户端输入特殊文字,窜改显示。例如:在一个文本框输入 "/><a href="www.xxxxx.com">下载</a> <input text="text" value="xx 这样的参数 最终原来好好的一个输入框 就会变成2个输入框 和一个跳转链接。 注:这种方式 很早以前在网上找到过文章,网址忘了,就当我是转载的,感谢当时的作者。我写这个出来,只是怕我自己忘了 没别的意思。
C#参数化(防止SQL注入)
One_Piece_Fu的博客
08-08 5924
转:https://blog.youkuaiyun.com/lsuwen/article/details/53224945 /* * C#防止SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 */ /* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块...
防SQL注入参数化查询
09-20 3498
在做机房收费系统的时候,曾经利用过传递参数的形式来将值传递给SQL语句或者存储过程,因为这样可以通过参数化的查询来帮助抵御“SQL 注入”式攻击,这种攻击者会将命令插入SQL语句,从而危机服务器的安全。 SqlParameter Param = new SqlParameter("@CourseID", 4);   这样可以从一定程度上来抵御SQL注入,但做的还不是很好,细心的话,你会
使用PDO查询Mysql来避免SQL注入风险
大头爸爸的博客
04-03 2005
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。         PDO(PHP Data Obje
spring mvc拦截POST请求防CSRF攻击
hins
08-06 6756
[1].[代码] CsrfTokenManager 用于管理csrfToken相关 跳至 [1] [2] [3] [4] [5] [6] [7] ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
SQL参数化查询防止注入的原理解析
本文将探讨为什么参数化查询能够防止SQL注入,并简述SQL执行的基本流程。" 在数据库操作中,SQL注入攻击通常是由于程序动态构建SQL语句,未对用户输入进行充分的验证或转义导致的。攻击者可以通过构造特殊的输入,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值