参数化查询（简单举例）

这几天在查一些有关SQL语句防注入的资料，敲敲改改总算弄好了，不多说，贴代码

string str = @"server=LAPTOP-CM9CUARS;Integrated Security=SSPI;database=Space;";
            using (SqlConnection Conn = new SqlConnection(str))
            {
                Conn.Open(); //打开数据库
                try
                {
                    using (SqlCommand Cmd = Conn.CreateCommand())
                    {
                        Cmd.CommandText = "select * from tabUsers where [email protected] and [email protected]";
                        Cmd.Parameters.Add(new SqlParameter("@ID", ID));
                        Cmd.Parameters.Add(new SqlParameter("@hspwd", hspwd1));
                        int count = Convert.ToInt32(Cmd.ExecuteScalar());

                        if (count > 0)
                        {
                            Session["ID1"] = ID;
                            string sql = "select*from tabUsers where id=‘" + ID + "‘";
                            string name = Class.Search(sql);
                            Session["name"] = name;
                            Response.Write("<script>alert(‘登录成功！‘);location=‘Space.aspx‘</script>");
                        }
                        else
                            Response.Write("<script>alert(‘登录失败，请正确填写账号、密码！‘)</script>");
                    }
                }

时间： 2024-10-26 03:01:31

参数化查询（简单举例）的相关文章

Sql Server参数化查询之where in和like实现详解

来自:http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein 文章导读拼SQL实现where in查询使用CHARINDEX或like实现where in 参数化使用exec动态执行SQl实现where in 参数化为每一个参数生成一个参数实现where in 参数化使用临时表实现where in 参数化 like参数化查询 xml和DataTable传参身为一名小小的程序猿,在日常开发中不可以

ADO.NET 参数化查询

使用参数化查询的情景有很多,但最常用的情景是需要用户在查询中进行输入的情况. 有两种方法可供使用.第一,可以讲用户输入嵌入到查询字符串中,例如可能使用.NET Framework中的String.Format函数. 第二种方法是构造一种参数化查询. 在开始时执行如下所示的基本查询: 1 select count(*) from UserInfo 2 3 4 where UserName=‘{0}’ and PassWord=‘{1}’ 然后利用用户的输入构造如下查询: 1 s

参数化查询为什么能够防止SQL注入

很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的. 本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨. 首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译.重编译与执行计划重用原理在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划. 具体可能有点不一样,但大致的步骤如上所示. 接着我们来分析为什么拼接SQ

【转载】Sql Server参数化查询之where in和like实现详解

文章导读拼SQL实现where in查询使用CHARINDEX或like实现where in 参数化使用exec动态执行SQl实现where in 参数化为每一个参数生成一个参数实现where in 参数化使用临时表实现where in 参数化 like参数化查询 xml和DataTable传参身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号.敏感字符转义之后就直接拼进了SQL,执行查询,搞定.若有一天

参数化查询为什么能够防止SQL注入 (转)

参数化查询但未提供该参数（将null插入数据库）

当你是使用参数化查询时为参数赋值时,比如command.Parameters.Add("@a",SqlDbType.Text,30).Value=a;当a=null是将报错: 错参数化查询 '(@a varchar(100)....' 需要参数 '@a',但未提供该参数只是因为你给a的值为null,而数据库中的null(空)是System.DBNull 类型的不是同一类.所以在插入空的时候要用DBNull,而不是null, 所以可以这样改: command.Parameters.Ad

where in 的参数化查询实现

身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号.敏感字符转义之后就直接拼进了SQL,执行查询,搞定.若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百.上千.甚至上万条数据时,参数化查询将是必然进行的选择.然而如何实现where in和like的参数化查询,是个让不少人头疼的问题. where in 的参数化查询实现首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要 s

【转】Sql Server参数化查询之where in和like实现详解

转载至:http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html 文章导读拼SQL实现where in查询使用CHARINDEX或like实现where in 参数化使用exec动态执行SQl实现where in 参数化为每一个参数生成一个参数实现where in 参数化使用临时表实现where in 参数化 like参数化查询 xml和DataTable传参身为一名小小的程序猿,在日常开发中不可以避免的要和wh

【转】Sql Server参数化查询之where in和like实现之xml和DataTable传参

转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/29/2475427.html 在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充文章导读方案5使用xml参数方案6 使用表值参数TVP,DataTable传参 6种实现方案总结方案5 使用xml参数对sql server xml类型参数不熟悉的

多条件搜索问题 -sql拼接与参数化查询

来源:传智播客免费开发视频. 问题:根据书名或出版社或作者查询书籍信息. using System; using System.Collections.Generic问题; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Data.SqlClie