VB.NET学习笔记:ADO.NET操作ACCESS数据库——执行含参数SQL语句或存储过程,防止SQL注入攻击

最新推荐文章于 2019-06-13 16:21:58 发布
最新推荐文章于 2019-06-13 16:21:58 发布
阅读量883 收藏 4
点赞数 1
分类专栏: VB.NET学习笔记 文章标签: ACCESS存储过程 含参数SQL语句
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyjq52uys/article/details/88576853
版权
本文详细介绍了如何在VB.NET中使用ADO.NET执行含参数SQL语句和ACCESS存储过程,以此防止SQL注入攻击。通过实例展示了如何设置占位符、添加参数,并讨论了不同类型的Add方法。最后,探讨了ACCESS中的存储过程限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

习惯上,我喜欢直接把SQL语句通过连接拼写出来。
为测试,我们新建一Windos应用程序项目,在窗体中拉入一个DataGridView、2个TextBox(TxtID和TxtGrade)、2 个Label和一个Button控件。设计界面如图:
在这里插入图片描述
数据库里的表数据如图:
在这里插入图片描述

一、拼接SQL语句进行数据库查询

测试代码:连接拼写SQL语句

    Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
        '连接数据库
        Dim conn As New OleDbConnection("Provider=Microsoft.ACE.OLEDB.12.0;Data Source=F:\test.accdb;")
        '打开数据库
        conn.Open()
        '生成命令
        Dim cmd As New OleDbCommand()
        cmd.CommandType = CommandType.Text
        cmd.Connection = conn

        cmd.CommandText = "SELECT gradeID, grade FROM gradetbl" _
                        & " WHERE gradeID=" & TxtID.Text & " AND grade='" & TxtGrade.Text & "';"

        '执行命令
        Dim adapter As New OleDbDataAdapter()
        adapter.SelectCommand = cmd
        '填充DataTable
        Dim dt As New DataTable
        adapter.Fill(dt)
        DataGridView1.DataSource = dt

        '关闭数据库
        conn.Close()
    End Sub

测试1:查询ID为1,年级为“一年级”的数据,如图:
在这里插入图片描述
测试结果:
在这里插入图片描述
拼接得到的SQL语句:SELECT gradeID, grade FROM gradetbl WHERE gradeID=1 AND grade='一年级';,如图:
在这里插入图片描述
测试2:恶意输入,如:ID输入“6 or 1=1”,年级输入“0’ or ‘1’='1 ”,如图

最低0.47元/天 解锁文章
VB.NET学习笔记ADO.NET操作ACCESS数据库——ADO.NET数据访问接口
zyjq52uys的博客
03-14 6387
一、ADO.NET概述 Ado.net基于XML和离线计算模型。 ADO.net的两个核心组件:.Net数据提供程序、DataSet。 .net数据提供程序用来与数据库的连接,如SQLServer.net数据提供程序——System.Data.SqlClient, 访问SQl2000以上版本;OleDb.net数据提供程序——System.Data.OleDb,主要访问Ac...
VB.NET学习笔记ADO.NET操作ACCESS数据库——读写ACCESS数据库的OleDbHelper帮助类
zyjq52uys的博客
04-10 969
本文代码由微软官方原版SqlHelper类改编而来,如何获取微软官方原版SqlHelper类请阅读《ADO.NET操作ACCESS数据库——微软官方原版SqlHelper类》 Imports System.Data Imports System.Data.OleDb Public NotInheritable Class OleDbHelper #Region "私有构造函数和方法" ...
vb.net 数据库访问
10-19
vb.net 数据库访问,VB.NET 使用 OleDb 操作 Access 数据库(来自 MSDN)
vb.net操作数据库ACCESS(1)
weixin_34187822的博客
04-06 206
一直想写下数据库操作方面的,只是没什么时间(好像是借口,应该是懒者没心情吧,呵呵)。最近发现优快云上 还是每天有人要问这些内容,我有的时候就懒的回答,呵呵,主要不断的去找代码给他们累啊。所以还是听高人的,来 个一劳永逸,自己重新温习下,也好给其他人一些帮助。 这个数据库操作我会写个系列性的吧, 先写ACCESS。不知道这个一篇能写多长,不行我要分级篇了。 其实AC...
学生管理系统之 vb 如何防止SQL 语句注入(以目前之力所能想到的方法)
webdev
08-16 211
前天师傅在查看作品的时候,给提到了SQL注入的问题,只见师傅在登录窗体的用户名文本框中输入:' or 1=1 -- 就这么一段看似乱七八糟的东西,然后竟登上了系统(数据库中没有这个用户),师傅也不给讲,没办法,自己整呗。 后来了解到,所谓SQL注入:就是通过把SQL命令插入到Web表单递交输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对此也不是很明白,但从师傅给的上面...
vb.net 操作Access数据库
最新发布
05-08
vb.net 操作Access数据库,实现对数据库的插入,拴除,刷新,增加记录等
防止SQL注入攻击-学习笔记
guishifoxin的博客
07-18 8680
所谓SQL注入,就是通过把SQL命令插入到web表单提交输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应有程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在web 表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句SQL注入是比较常见的网络攻击方式之一,它不是利用...
VB.NET学习笔记ADO.NET操作ACCESS数据库——ADO.NET事务处理
zyjq52uys的博客
03-14 1321
事务由执行的单个命令一组命令组成。 通过事务可以将多个操作合并为单个工作单元。 如果在事务中的某一点发生故障,则所有更新都可以回滚到其事务前状态。 例如,假设应用程序执行两个任务。 首先使用订单信息更新表。 然后更新包库存信息的表,将已订购的商品记入借方。 如果任何一项任务失败,则这两个更新将回滚。 事务的作用: 一致性:同时进行的查询和更新彼此不会发生冲突,其它用户不会看到发生了变化但尚未提...
VB.NET学习笔记ADO.NET操作ACCESS数据库——书写SQL语句时处理系统关键字如DEFAULT、ON、position等
zyjq52uys的博客
04-09 729
一、默认值和级联更新删除关键字DEFAULT和ON DEFAULT和ON是MS ACCESS SQL系统关键字,SQL语句中如果有系统关键字,在ACCESS界面是无法执行的。如下SQL语句: Create TABLE periodtbl ( PDID AUTOINCREMENT, PDname text(10) NOT NULL, CONSTRAINT pk_periodtbl_PDID PRI...
vb.net 连接 access 数据库
huangle63的专栏
05-15 1513
查询的代码Imports System.Data.OleDb Try Dim Con As New OleDbConnection("Provider=Microsoft.ACE.OLEDB.12.0;Data Source=contract.accdb") Con.Open() '开始查询
VB.net调用Access数据库
05-01
VB.net调用Access数据库,及报错“未在本地计算机上注册“Microsoft.ACE.OLEDB.12.0”提供程序”解决方案
vb.net操作access数据库实例
09-22
vb.net操作access数据库示例,免分,给有需要的朋友。 vb.net操作access数据库示例,免分,给有需要的朋友。
VB.Net访问Access数据库操作示例
06-05
VB.Net访问Access数据库操作示例,就是一个简单的读取、添加、修改。供参考。
VB.NET操作Access数据库(Update,Insert,delete,select)
01-28
经典之作,我是根据已有的程序进行修改的,我想是比较完善的作品。 该实例中我编写了一个类ClsSetAccess,主要包括两个函数:1.执行数据不返回任何值mdbExecuteNonQuery 2.执行数据返回单个值mdbExecuteNonQuery。如果你需要可以下载,里面注释得很清楚
vb.net创建access数据库
weixin_30919429的博客
11-29 1114
1.首先添加引用Microsoft ADO Ext. 2.8 for DDL and Security 2..vb文件中引用:Imports ADOX 3.为保存access数据库的文件夹赋予写的权利: Code PublicSubCreateMdb()SubCreateMdb() DimdbNameAsString=HttpConte...
vb.net操作数据库ACCESS(2)
菜鸟路漫漫
04-15 9567
   上一篇中我已经说了下如何操作ACCESS数据库,下面来说说存取图片,声音之类的问题。    由于图片,声音不能直接存储,这里就要用到数据流方式了。对于.NET中的一些术语概念我仍然很迷糊,在学习中。主要我不是专业的,只是开始学了点VB6代码,然后就用VB.NET了,所以目前只是会写点代码,却不知道原理,很惭愧。    哎哟,走题了,赶紧回来,不好意思!        
学习记录:VB.NET.操作ACCESS数据库
iamtsfw的专栏
06-13 9744
从98年到现在,VB6使用了20多年,真的舍不得扔掉,但是随着新计算机预装操作系统的版本越来越高,做好的安装包在安装时遇到的问题越来越多,无奈之下只能转向使用VB.NET了。安装了VS2005来学习,这个家伙不错,个头不是特大,在xp上跑的很顺畅,哈哈。 今天学习在VB.NET操作ACCESS数据库,为防止将来忘记,记录于此。 一、清空某张表中的全部数据 Dim cn As...
VisualBasic学习:创建数据表与测量程序设计
VB支持ADO(ActiveX Data Objects)库,允许开发者通过SQL语句数据库进行交互,创建、查询、更新和删除数据。理解如何使用DAO(Data Access Objects)ODBC(Open Database Connectivity)连接到不同的数据库系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值