ADO.NET复习总结(3)--参数化SQL语句

1、SQL 注入

2、使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter

Command的属性parameters是一个参数集合。

3、举例<查询学生表学生个数>

代码:

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Data.SqlClient;

namespace WindowsFormsApplication2
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void button1_Click(object sender, EventArgs e)
        {
            using (SqlConnection conn =new SqlConnection("server=.;database=dbtest;uid=sa;pwd=123") )
            {
                string sql = "select Count(*) from userinfo where username=‘" + textBox1.Text + "‘   ";
                SqlCommand cmd = new SqlCommand(sql,conn);
                conn.Open();
                int i = Convert.ToInt32(cmd.ExecuteScalar());
                MessageBox.Show(i.ToString());
            }
        }
    }
}

数据库为:

注意:运行代码为结果为

数据库中执行一遍代码:

结果执行正确,没有问题、

但是请看执行下面查询 (sql注入原理:攻击数据库的一种方式):

查询框中输入:

a‘ or 1=1 or 1=‘

在数据库中的代码为(加单引号):

select Count(*) from userinfo where username=‘a‘ or 1=1 or 1=‘‘--这句永远为true

4、实行参数化

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Data.SqlClient;

namespace WindowsFormsApplication2
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void button1_Click(object sender, EventArgs e)
        {
            using (SqlConnection conn =new SqlConnection("server=.;database=dbtest;uid=sa;pwd=123") )
            {
               // string sql = "select Count(*) from userinfo where username=‘" + textBox1.Text + "‘   ";
                string sql = "select count(*) from userinfo where [email protected]";//参数化
                SqlCommand cmd = new SqlCommand(sql,conn);
                //加参数:cmd的parameters属性,一个参数用add方法
                cmd.Parameters.Add(
                    new SqlParameter("@name", textBox1.Text)
                    );
                conn.Open();
                int i = Convert.ToInt32(cmd.ExecuteScalar());
                MessageBox.Show(i.ToString());
            }
        }
    }
}

参数化语句执行过程:

(1)打开数据库工具->Profier工具(数据库分析监测工具)

(2)执行代码:输入a‘ or 1=1 or 1=‘

点击button后

(3)然后看下Profiler

exec sp_executesql N‘select count(*) from userinfo where [email protected]‘,N‘@name nvarchar(16)‘,@name=N‘a‘‘ or 1=1 or 1=‘‘‘--底下的代码

时间: 2024-12-29 23:13:51

ADO.NET复习总结(3)--参数化SQL语句的相关文章

如何用参数化SQL语句污染你的计划缓存

你的SQL语句的参数化总是个好想法.使用参数化SQL语句你不会污染你的计划缓存——错!!!在这篇文章里我想向你展示下用参数化SQL语句就可以污染你的计划缓存,这是非常简单的! ADO.NET-AddWithValue ADO.NET是实现像SQL Server关系数据库数据访问的.NET框架的组成——有一些严重的副作用.不要误解我——只要你正确使用,ADO.NET一直很棒.你马上就会看到,它很容易被错误使用.我们来看下面实现SQL语句执行的C#代码. 1 for (int i = 1; i <=

使用参数化SQL语句进行模糊查找(转载)

使用参数化SQL语句进行模糊查找 今天想用参数化SQL语句进行模糊查找,一开始的使用方法不正确,摸索了好一会. 1.使用参数化SQL语句进行模糊查找的正确方法: //定义sql语句 string sql = "SELECT StudentID,StudentNO,StudentName FROM Student WHERE StudentName like @StudentName"; //给参数赋值 command.Parameters.AddWithValue("@Stu

C# 参数化SQL语句中的like和in

在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的我们一般的思维是: Like 参数:string strSql = "select * from Person.Address where City like '%@add%'";SqlParameter[] Parameters=new SqlParameter[1];Parameters[0] = new SqlParameter("@add", "bre&

ADO.NET中带参数的Sql语句的陷阱

1.使用Parameter //利用构造函数方式 ,不推荐这样写 Parameter p =new Parameter("@id",值); cmd.Parameters.Add(p); //利用对象初始化器的方式,推荐是这样写 Parameter p =new Parameter() {ParameterName="@id",Value="值"}; cmd.Parameters.Add(p); //推荐和不推荐为了什么?在下面说 2.使用Para

ADO.NET复习——自己编写SqlHelper类

今天复习了一次ADO.NET基础,整理一下自己的认为的重点: 编写SqlHelper类,方便我们执行数据库语句,这时可以直接调用封装在SqlHelper类的方法.现在大多数公司面试的时候,给你的面试题都会要你自己手写一个SqlHelper的类,这考的是自己的基本功,如果一个根基不牢固的开发人员,你写的代码肯定好不到哪里去. 下面是SqlHelper的演示代码,一定要熟练: 1 public static SqlHelper 2 { 3 //这里定义一个字符串变量,把数据库连接字符串赋值给它,也可

《Entity Framework 6 Recipes》中文翻译系列 (12) -----第三章 查询之使用SQL语句 (转)

3-2使用原生SQL语句更新 问题 你想在实体框架中使用原生的SQL语句,来更新底层数据存储. 解决方案 假设你有一张如图3-2所示的Payment数据库表,使用实体框架设计器工具创建了一个如图3-2所示的模型. 图3-2 Payment表,包含一个供应商的付款信息 图3-3 包含一个Payment实体的模型 为了在底层的Payment表中执行一句和多句SQL语句,可以使用在DbContext类中的属性Database中的ExecuteSQlCommand()方法. 虽然我们能在模型中查询Pay

在JDBC中使用带参数的SQL语句

ADO.Net中,支持带参数的SQL语句,例如:Select * from Tables where [email protected],其中@column1为SQL参数,使用起来非常方便,而JDBC中没有找到此功能,感觉有点不便, 于是想自己实现一个.今天正好看见csdn中有一篇http://blog.csdn.net/wallimn/article/details/3734242 文章,有些感触,于是把自己的实现也写出来. 我的思路: 1: 在SQL语句中找到以@开始,以" ",

参数化SQL

原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html 避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句.例如我们在本篇中创建的表UserInfo中查找所有女性

SQL Server SQL性能优化之--数据库在“简单”参数化模式下,自动参数化SQL带来的问题

数据库参数化的模式 数据库的参数化有两种方式,简单(simple)和强制(forced),默认的参数化默认是“简单”,简单模式下,如果每次发过来的SQL,除非完全一样,否则就重编译它(特殊情况会自动参数化,正是本文想说的重点)强制模式就是将adhoc SQL强制参数化,避免每次运行的时候因为参数值的不同而重编译,这里不详细说明. 这首先要感谢“潇湘隐者”大神的提示, 当时也是遇到一个实际问题, 发现执行计划对数据行的预估,怎么都不对,有观察到无论怎么改变参数,SQL语句执行前都没有重编译,疑惑了