C# sql语句拼接时 like情况的防sql注入的用法

最新推荐文章于 2025-05-08 15:41:03 发布
最新推荐文章于 2025-05-08 15:41:03 发布
阅读量210 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: c#
原文链接:http://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html
本文介绍了一种在C#中安全使用LIKE的方法,通过参数化查询的方式避免SQL注入风险,提供了一个简单实用的例子。

  今天下午同事问我一个比较基础的问题,在拼接sql语句的时候,如果遇到Like的情况该怎么办。

  我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。

  刚在网上找了下相关的说明,原来是这样写的。

  如这样一个sql语句:

  

select * from game where gamename like '%张三%'

 

  用c#表示的话:

            string keywords = "张三";
            StringBuilder strSql=new StringBuilder();
            strSql.Append("select * from game where gamename like @keywords");

            SqlParameter[] parameters=new SqlParameter[]
            {
                new SqlParameter("@keywords","%"+keywords+"%"), 
            };

这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。

 

是个小知识点,希望对你能有所帮助! ^_^

转载于:https://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html

C#SQL注入的方法及源代码实现
BugHunterX的博客
09-02 1378
在使用C#开发数据库应用程序SQL注入是非常重要的。SQL注入攻击是一种常见的网络安全威胁,攻击者通过在输入数据中插入恶意的SQL代码,来利用应用程序对数据库的不当访问,进而达到窃取、篡改或破坏数据的目的。然而,也应该注意,安全是一个持续的过程,除了前端的护措施,还需要后端的安全控制和合理的权限管理,以确保数据的安全性。请注意,以上代码仅为示例,请根据项目实际情况进行适当的修改和调整,以满足您的具体需求。SQL注入攻击是一项非常重要的任务,希望以上内容对您有所帮助。
C# SQL语句参数化,通过包含like关键字的子句查询无结果问题
仰望星空的代码
05-11 4237
问题描述:SQL语句使用参数传递变量值,如果where子句中含有like关键字并使用sql的标准语法 like '%@parma%',则查询无数据或者报错 解决办法:sql语句like部分修改为 like @parma,在变量parma中加入%,parma = "%"+parma+"%"。
C#使用带likesql语句sql注入的方法
09-04
主要介绍了C#使用带likesql语句sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,sql注入,需要的朋友可以参考下
c#执行sql语句里面带有like查询的候如何sql注入
weixin_30416497的博客
01-13 320
#region/// 过滤html,js,css代码 /// <summary> /// 过滤html,js,css代码 /// </summary> /// <param name="html">参数传入</param> /// <returns></returns&gt...
C# sql参数拼接sql注入
hzm博客
09-23 863
/// <summary> /// 安全输出字符串(页面内容) /// </summary> /// <param name="s"></param> /// <returns></returns> public static string ToSafe(this string s) { if (s == null) { s ...
SqlServer参数化查询之where in和like实现详解
12-15
SQL Server中,参数化查询是一种安全且高效的执行SQL的方式,它可以有效SQL注入,并在大量数据查询提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其...
C#高效实现多条件SQL查询拼接技巧
1. SQL注入:在拼接SQL语句,确保所有用户输入或变化的查询条件都通过参数化查询处理,或者使用适当的转义函数确保不会发生SQL注入。 2. 查询性能:过多的查询条件可能会导致查询性能下降,特别是当使用了...
掌握C#参数化查询:SQL注入
最新发布
weixin_42576410的博客
05-08 1346
SQL注入攻击是一种常见的网络攻击技术,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,利用应用程序对用户输入处理不当,执行未授权的数据库操作。攻击目标通常是Web应用程序,旨在破坏、篡改或窃取数据库中的数据。SQL注入攻击是一种常见的网络攻击手段,它通过在SQL语句注入恶意SQL代码,对数据库进行未授权的操作。攻击者可能会利用输入字段或者URL参数注入恶意的SQL片段,例如登录表单中用户提交的用户名和密码,如果直接拼接SQL语句执行,攻击者便可以通过输入类似的语句,绕过登录验证。
c#sql防注入模糊查询_NET开发-在SQL Server数据库中,使用like结合通配符实现模糊查询...
weixin_29625757的博客
12-31 545
1.概述在企业的.NET信息系统中,匹配查询和模糊查询使用频率是非常高的,像百度搜索使用的就是模糊查询,只要输入任意1个关键字,就可以查询出来所有与该关键字相关的信息。模糊查询例如,查询姓名为李小强的数据,则要使用姓名=李小强进行查询,这是相等查询。什么是模糊查询呢?模糊是指只匹配某一个字符或多个字符,然后中间或两边为任意字符,这就是模糊查询,如查询姓李的学生,则就是模糊查询。与之匹配的有李小强、...
C#SQL注入代码的三种方法
甫子陵的博客
08-07 1万+
C#SQL注入代码的三种方法
Access数据库注入方法及
xabc3000的专栏
05-30 3431
Access数据库想对于MsSql来说可谓小巫见大巫,但是Acc的数据库在目前国内还是有一定的市场,其注入也很灵活。相信你看完本文就会了解到Access也是很强大的。 一,基础篇 1、猜解表名,这里借用啊D的语句: and exists (select * from 表名) 2、猜解列名: and exists (select 字段 from 表名) UNION法,在执行union之前
dapper mysql tinyint_关于C#:Dapper的SQL查询生成器
weixin_35920143的博客
03-03 491
您好,Hi试图找到在我们的新项目中使用的最佳性能的ORM。我的最终选择是Dapper。我们还需要使我们的应用程序至少包括以下功能,这些功能阻止我们对传递给Dapper的SQL查询进行硬编码与数据库无关运行实体定义我考虑过为Dapper写一个SQL生成器,但是我不确定我遵循的方法是最好的:用方法签名声明一个接口。该实现对应于要使用的数据库系统(SQL Server / MySQL / Postgr...
c# dapper mysql like 参数化
09-20 477
//拼接sql语句: if (!string.IsNullOrEmpty(model.Email)) { where += " and a.email like @email "; } ...
like concat 不用 like,为了sql注入;#{}和${}的区别和用法;#{}预SQL注入的原理
qq_46023827的博客
08-27 1360
其次${}本身设计的初衷就是为了参与SQL语句的语法生成,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。(1)#{}在使用,会根据传递进来的值来选择是否加上双引号,因此我们传递参数的候一般都是直接传递,不用加双引号,${}则不会,我们需要手动加(2)在传递一个参数,我们说了#{}中可以写任意的值,则必须使用value;即:{}则必须使用value;则必须使用value;即:{value}
模糊查询LIKE语句SQL注入
热门推荐
newtelcom的专栏
02-24 2万+
模糊查询LIKE语句SQL注入
Mybatis like 查询 SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 9072
Mybatis like 查询 SQL注入方法相关原理和解决方法整理
mybatis模糊查询应先处理好参数,再进行查询,sql注入
Samin的博客
04-23 617
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接
SQL中,有效likeSQL注入
白高林的专栏
03-12 5918
SQL中有效likeSQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值