带参数的查询防止SQL注入攻击

  1. 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数”
  2. SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数:
    •  参数的设定:

      string strCmd = "SELECT AccountID FROM Account WHERE [email protected] AND [email protected]";

      对于SQL Server数据库,“@”是参数的前缀。上句中定义了两个参数:@AccountName,@password。

    • 在执行命令前给参数赋值:

          SqlCommand cmd = new SqlCommand(strCmd, conn);
    cmd.Parameters.AddWithValue("@AccountName", userName);
    cmd.Parameters.AddWithValue("@password", password);
    cmd.ExecuteReader();
  3. 可以看出,SQL中的参数就跟平常函数中的参数一样,先声明,后赋值。在执行SQL命名时,将会把参数值当成一个字符串整体来进行处理,即使参数值中包含单引号,也会把单引号当成单引号字符,而不是字符串的起止符。这样就在某种程度上消除了SQL注入攻击的条件。

代码示例:

 1         static void Main(string[] args)
 2         {
 3             string userName = "Joe";
 4             string password = "123456";
 5
 6             string strConn = @"server=Joe-PC;database=AccountDBforSQLInjection;uid=sa;pwd=root";
 7             SqlConnection conn = new SqlConnection(strConn);
 8
 9             string strCmd = "SELECT AccountID FROM Account WHERE [email protected] AND [email protected]";
10             SqlCommand cmd = new SqlCommand(strCmd, conn);
11
12             cmd.Parameters.AddWithValue("@AccountName", userName);
13             cmd.Parameters.AddWithValue("@password", password);
14
15             try
16             {
17                 conn.Open();
18                 SqlDataReader dr = cmd.ExecuteReader();
19                 if (dr.Read())
20                 {
21                     Console.WriteLine("成功");
22                 }
23                 else
24                 {
25                     Console.WriteLine("失败");
26                 }
27             }
28             catch (Exception e)
29             {
30                 Console.WriteLine(e);
31             }
32             finally
33             {
34                 conn.Close();
35             }
36         }
时间: 2024-10-13 22:26:48

带参数的查询防止SQL注入攻击的相关文章

ADO.NET快速入门——带参数的查询防止SQL注入攻击

相关知识: 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数” SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数: 参数的设定: string strCmd = "SELECT AccountID FROM Account WHERE [email protected] AND [email protected]"; 对于SQL Server数据库,“@”是参数的前缀.上句中定义了两个参数:@Acc

023. Asp.net参数化查询预防Sql注入攻击

1 /// <summary> 2 /// 参数化查询预防SQL注入式攻击 3 /// </summary> 4 public int checkLogin(string loginName, string loginPwd) 5 { 6 string strsql = "select count(*) from tb_LoginUser where [email protected] and [email protected]"; 7 SqlConnectio

Web安全篇之SQL注入攻击

在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧 文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:       第一讲:"纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.":       第二讲:"实战演练:我们要在互联网上

防止SQL注入攻击

SQL注入攻击的危害性很大.在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理.这有利于管理员采取有针对性的防治措施. 一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面这条语句是很普通的一条SQL语句,他主要实现的功能就是让用户输入一个员工编号然后查询处这个员工的信息.但是若这条语句被不法攻击者改装过后,就可能成为破坏数据的黑手.如攻击者在输入

2017-2018-2 20179204《网络攻防实践》第十一周学习总结 SQL注入攻击与实践

第1节 研究缓冲区溢出的原理,至少针对两种数据库进行差异化研究 1.1 原理 在计算机内部,输入数据通常被存放在一个临时空间内,这个临时存放的空间就被称为缓冲区,缓冲区的长度事先已经被程序或者操作系统定义好了.向缓冲区内填充数据,如果数据的长度很长,超过了缓冲区本身的容量,那么数据就会溢出存储空间,而这些溢出的数据还会覆盖在合法的数据上,这就是缓冲区和缓冲区溢出的道理. 参见这篇博客缓冲区溢出攻击 1.2 oracle数据库 针对Oracle数据库缓冲区溢出攻击的研究 1.3 mysql数据库

web前端安全之SQL注入攻击

一.SQL注入攻击的原理攻击者在HTTP请求中注入恶意的SQL代码,并在服务端执行.比如用户登录,输入用户名camille,密码 ' or '1'='1 ,如果此时使用参数构造的方式,就会出现 select * from user where name = 'camille' and password = '' or '1'='1' 不管用户名和密码是什么,查询出来的用户列表都不为空,这样可以随意看其他用户的信息. 二.SQL注入攻击的防御1.客户端 限制字符串输入的长度: 有效性检验. //过

使用SQLMAP对网站和数据库进行SQL注入攻击

from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/ 0x00 背景介绍 1. 什么是SQL注入? SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等.SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL

PHP的SQL注入攻击的技术实现以及预防措施

SQL 攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞.简而言之,是在输入的字符串之中注入SQL指 令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏. 有部份人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击.1.原因在应用程序中若有下列状况,则可能应用程序正暴露在

SQL 注入攻击

一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试.这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了.最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例. "SQL注入"是一种利用未过滤/未审核用户输入的攻击方法("缓存溢出"和这个不同),意思就是让应用运行本不应该运行的SQL代码.如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果. 我们记录下