2. 程式人生 > >ADO.NET復習總結(3)--參數化SQL語句

ADO.NET復習總結(3)--參數化SQL語句

阿新 發佈:2017-12-22
輸入 net connect varchar 學生表 sap style text 執行過程

1、SQL 註入

2、使用參數化的方式,可以有效防止SQL註入,使用類parameter的實現類SqlParameter

Command的屬性parameters是一個參數集合。

3、舉例<查詢學生表學生個數>

技術分享圖片

代碼:

技術分享圖片 
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;

 
using System.Data.SqlClient;

namespace WindowsFormsApplication2
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void button1_Click(object sender, EventArgs e)
        {
            using (SqlConnection conn =new
 
 SqlConnection("server=.;database=dbtest;uid=sa;pwd=123") )
            {
                string sql = "select Count(*) from userinfo where username=‘" + textBox1.Text + "";
                SqlCommand cmd = new SqlCommand(sql,conn);
                conn.Open();
                int i = Convert.ToInt32(cmd.ExecuteScalar());
                MessageBox.Show(i.ToString());
            }
        }
    }
}
View Code

技術分享圖片

數據庫為:

技術分享圖片

註意:運行代碼為結果為

技術分享圖片

數據庫中執行一遍代碼:

技術分享圖片

結果執行正確,沒有問題、

但是請看執行下面查詢 (sql註入原理:攻擊數據庫的一種方式):

查詢框中輸入:

a or 1=1 or 1=

技術分享圖片

在數據庫中的代碼為(加單引號):

select Count(*) from userinfo where username=a or 1=1 or 1=‘‘--這句永遠為true

技術分享圖片

4、實行參數化

技術分享圖片 
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Data.SqlClient;

namespace WindowsFormsApplication2
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void button1_Click(object sender, EventArgs e)
        {
            using (SqlConnection conn =new SqlConnection("server=.;database=dbtest;uid=sa;pwd=123") )
            {
               // string sql = "select Count(*) from userinfo where username=‘" + textBox1.Text + "‘   ";
                string sql = "select count(*) from userinfo where username=@name";//參數化
                SqlCommand cmd = new SqlCommand(sql,conn);
                //加參數:cmd的parameters屬性,一個參數用add方法
                cmd.Parameters.Add(
                    new SqlParameter("@name", textBox1.Text)
                    );
                conn.Open();
                int i = Convert.ToInt32(cmd.ExecuteScalar());
                MessageBox.Show(i.ToString());
            }
        }
    }
}
View Code

參數化語句執行過程:

(1)打開數據庫工具->Profier工具(數據庫分析監測工具)

技術分享圖片

(2)執行代碼:輸入a‘ or 1=1 or 1=‘

點擊button後

技術分享圖片

(3)然後看下Profiler

技術分享圖片

exec sp_executesql Nselect count(*) from userinfo where username=@name,N@name nvarchar(16),@name=Na‘‘ or 1=1 or 1=‘‘‘--底下的代碼

技術分享圖片

ADO.NET復習總結(3)--參數化SQL語句

相關推薦

ADO.NET總結3--SQL語句

輸入 net connect varchar 學生表 sap style text 執行過程 1、SQL 註入 2、使用參數化的方式,可以有效防止SQL註入,使用類parameter的實現類SqlParameter Command的屬性parameters是一個

ADO.NET總結6-斷開式據操作

div list() ide -a toolstrip pty ogre 提示 names 一、基礎知識 主要類及成員(和數據庫無關的)(1)類DataSet:數據集,對應著庫,屬性Tables表示所有的表(2)類DataTable:數據表,對應著表,屬性Rows表示所有的

ADO.NET總結7-視圖

舉例 ... bubuko 創建 display 修改 log 分享圖片 tle 視圖(1)作用:將一個復雜的select語句進行封裝,以更方便使用(2)語法: create/alter view 名稱 as select

據庫總結3-創建據庫、表

pan 日誌文件 包含 維護 多個 等等 事務日誌文件 文件組 文件 一、創建數據庫 1、界面操作:創建數據庫,創建表,設置主鍵,數據庫的分離和附加 2、MS SQLServer的每個數據庫包含: 1個主數據文件(.mdf)必須 1個事務日誌文件(.ldf)必須 3、可以包

css基礎知識的總結

文本 pin zoom clear head 導航 設置 mage 之間 文檔流、浮動、清除浮動、overflow、定位 1.文檔流 css文檔流,標準流是什麽? 元素自上而下,自左而右,塊元素獨占一行,行內元素在一行上顯示,碰到父集元素的邊框換行。

css基礎知識的總結

網頁 元素 ati 塊元素 isp 方式 一半 浮動 .cn 1.定位的盒子居中顯示 案例一:(定位的盒子居中顯示) 預期效果 實現步驟: 設置父盒子為相對定位 設置子盒子left值為父盒子寬度一半設置子盒子左邊距為自己寬度一半 總結:margin:0 auto 只能讓在

據庫總結6-SQL語句入門腳本、命令

sql cal http sys es2017 mil 多行 數據庫 alt 腳本操作: 註釋:--單行註釋,/**/多行註釋 數據庫:創建、刪除 (可以通過查看master數據庫中的sysdatabase表,來了解當前存在的數據庫) 點擊“新建查詢”,選中哪句執

據庫總結7-表的創建以及插入命令、據修改、據刪除

位置 bject src key arc cat () 例如 truncate 一、表的操作 表:創建、修改、刪除 通過select * from sysobjects where xtype=‘U‘可以查看所有存在的表 多個列間使用逗號分隔

據庫總結13-常用函

日期 str 類型 技術分享 pan logs 函數 strong ima 一、類型轉換函數 二、字符串函數 三、日期函數(在幫助中輸入“日期函數”) 數據庫復習總結(13)-常用函數

據庫總結15-子查詢分頁

des play core splay 出現 opened b2c lose ont 子查詢: (1)將一個查詢語句嵌入另一個查詢語句中,稱這種查詢為子查詢(2)出現在條件部分常用的運算符:= 、in 、exists(exists和in效果相同,但是exists效率高些)

據庫總結16-case關鍵字據透視

isp b- event sub 多行 none 創建 pre group case語法: 練習1:將性別的0、1顯示為男、女 select * from StudentInfo --case:對結果集中的列進行判斷 --例1:顯示學生信息,性別以"男

C#筆記3--C#2:解決C#1的問題進入快速通道的委托

包含 問題 道理 一次 簡化 linq base 啟動 外部 委托 前言:C#1中就已經有了委托的概念,但是其繁雜的用法並沒有引起開發者太多的關註,在C#2中,進行了一些編譯器上的優化,可以用匿名方法來創建一個委托。同時,還支持的方法組和委托的轉換。順便的,C#2中增加了委

react項目總結2--react生命周期和組件通信

-- 分享 技術 fault .com 進入 ltp init info 這是react項目復習總結第二講, 第一講:https://www.cnblogs.com/wuhairui/p/10367620.html 首先我們來學習下react的生命周期(鉤子)函數

MyBatis學習總結---使用log4j2將sql語句執行記錄輸出控制檯和檔案中

  在上一篇部落格中我簡單的介紹了在MyBatis中如何使用日誌,並給出了一個在MyBatis中使用log4j的示例。    MyBatis中日誌的使用及使用log4j示例   下面介紹在MyBatis中如何使用log4j2將sql語句執行記錄輸出控制

【轉】JMeter學習

一個 ngx adr conf 英文逗號 .net 註意 itl ron JMeter也有像LR中的參數化,本篇就來介紹下JMeter的參數化如何去實現。 參數化:錄制腳本中有登錄操作,需要輸入用戶名和密碼,假如系統不允許相同的用戶名和密碼同時登錄,或者想更好的模擬多個

jmeter

ace names spa 名稱 .cn recycle 參數化 filename Coding 參數化:錄制腳本中有登錄操作,需要輸入用戶名和密碼,假如系統不允許相同的用戶名和密碼同時登錄,或者想更好的模擬多個用戶來登錄系統。 這個時候就需要對用戶名和密碼進行參數化,使每

gitlab+jenkins+maven+docker持續集成——構建過程之多環境tag構建

gitlab+jenkins+maven+docker持續集成(十)——參數化構建過程之多環境tag構建同一個項目,要構建到不同的環境,而且對應的分支或tag也不相同,這裏就要用到jenkins的參數化構建過程 中的Git Parameter和Choice Parameter, 先看下效果實現過程構建過程:G

C#筆記4--C#3:革新寫代碼的方式用智能的編譯器來防錯

靜態 png 字段 tom 父類 保持 int http AI 用智能的編譯器來防錯 本章的主要內容: 自動實現的屬性:編寫由字段直接支持的簡單屬性, 不再顯得臃腫不堪; 隱式類型的局部變量:根據初始值推斷類型,簡化局部變量的聲明; 對象和集合初始化程序:用一個表達式就能

C#筆記4--C#3:革新寫代碼的方式查詢表達式和LINQ to object

類型 否則 表達 數據集 clas 階段 邏輯 變量 RR 查詢表達式和LINQ to object(上) 本章內容: 流式處理數據和延遲執行序列 標準查詢操作符和查詢表達式轉換 範圍變量和透明標識符 投影、過濾和排序 聯接和分組 選擇要使用的語法 LINQ中的概

C#筆記4--C#3:革新寫代碼的方式查詢表達式和LINQ to object

標識 all 麻煩 linq with write mar sel img 查詢表達式和LINQ to object(下) 接下來我們要研究的大部分都會涉及到透明標識符 let子句和透明標識符 let子句不過是引入了一個新的範圍變量。他的值是基於其他範圍變量的。let 標識