ACCESS的参数化查询

看论坛上还许多人问及ACCESS被注入的安全问题
许多人解决的方法仍然是用Replace替换特殊字符,然而这样做也并没有起到太大做用
今天我就把我用ACCESS参数化查询的一些方法和经验和大家分享
希望对大家有所启发,有写的不对的地方希望高手们多多指教

ASP.NET 用OleDbCommand的new OleDbParameter创建参数货查询
ASP用Command的CreateParameter 方法创建参数化查询
(SQL储存过程查询也是用这个方法建立的)

ASP.NET C#语法

OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
(实际上它有七重载大家具体大家可以在VS.net里面就可以看到)
参数
Name        可选,字符串,代表 Parameter 对象名称。
Type        可选,长整型值,指定 Parameter 对象数据类型。
Direction   可选,长整型值,指定 Parameter 对象类型。。
Size        可选,长整型值,指定参数值最大长度(以字符或字节数为单位)。
Value       可选,变体型,指定 Parameter 对象的值。
以下是实例,查询news表中所有tsing发表的新闻
  -------------------------------------------------------
  sql="select * from newss where username=? order by id"
 //注意查询的条件均用?号表示
  OleDbConnection conn = new OleDbConnection(connString);
  OleDbCommand cmd = new OleDbCommand(sql,conn); 
  OleDbParameter parm = new OleDbParameter("temp",OleDbType.VarChar, 50); 
  //temp为Parameter对象可随便定义,OleDbType.VarChar指定为字符串,长度50
  parm.Direction = ParameterDirection.Input;
  //指定其类型输入参数
  cmd.Parameters.Add(parm);
 cmd.Parameters["temp"].Value = "tsing";
  //查询tsing,也可以写成cmd.Parameters[0]
 conn.Open();
 cmd.ExecuteReader();

ASP VBSCRIPT语法

Set parameter = command.CreateParameter (Name, Type, Direction, Size, Value)
参数同上
以下是实例,查询news表中所有tsing发表的新闻
  ------------------------------------------------------
  et conn = Server.CreateObject("Adodb.Connection")
  conn.ConnectionString = connString
  conn.open()
  set mycmd = Server.CreateObject("ADODB.Command")
  mycmd.ActiveConnection=conn
  mycmd.CommandText=sql
  mycmd.Prepared = true
  set mypar = mycmd.CreateParameter("temp",129,1,50,"tsing")
  mycmd.Parameters.Append mypar
  set myrs = mycmd.Execute 网页教学网

与上面基本相同不同的地方法是asp在对参数的表达上面不同
  129为adChar,1就是指示输入参数(是其实是默认值)
大家请参阅MICROSOFT的ADOVB.Inc:

‘‘----   ParameterDirectionEnum   Values   ----   
  Const   adParamUnknown   =   0   
  Const   adParamInput   =   1   
  Const   adParamOutput   =   2   
  Const   adParamInputOutput   =   3   
  Const   adParamReturnValue   =   4  
‘‘----   DataTypeEnum   Values   ----   
  Const   adEmpty   =   0   
  Const   adTinyInt   =   16   
  Const   adSmallInt   =   2   
  Const   adInteger   =   3   
  Const   adBigInt   =   20   
  Const   adUnsignedTinyInt   =   17   
  Const   adUnsignedSmallInt   =   18   
  Const   adUnsignedInt   =   19   
  Const   adUnsignedBigInt   =   21   
  Const   adSingle   =   4   
  Const   adDouble   =   5   
  Const   adCurrency   =   6   
  Const   adDecimal   =   14   
  Const   adNumeric   =   131   
  Const   adBoolean   =   11   
  Const   adError   =   10   
  Const   adUserDefined   =   132   
  Const   adVariant   =   12   
  Const   adIDispatch   =   9   
  Const   adIUnknown   =   13   
  Const   adGUID   =   72   
  Const   adDate   =   7   
  Const   adDBDate   =   133   
  Const   adDBTime   =   134   
  Const   adDBTimeStamp   =   135   
  Const   adBSTR   =   8   
  Const   adChar   =   129   
  Const   adVarChar   =   200   
  Const   adLongVarChar   =   201   
  Const   adWChar   =   130   
  Const   adVarWChar   =   202

Const   adLongVarWChar   =   203   
  Const   adBinary   =   128   
  Const   adVarBinary   =   204   
  Const   adLongVarBinary   =   205

附我写的C#类,和VBSCRIPT函数,希望对大家有帮助

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Data.OleDb;
namespace acc_select
{
    /// <summary>
    /// accselect 的摘要说明
    /// </summary>
    public class accselect
    {
    //"Provider=Microsoft.Jet.OLEDB.4.0; Data Source=d:\dq\db1.mdb"
        private string conn = ConfigurationManager.ConnectionStrings["tsingConnectionString"].ToString();
        public string sql = string.Empty;
        public int t = 4;
        public object v = null;
        public accselect()
        {
        }

/// <summary>
        /// 构造函数,传递ACC参数查询语句
        /// </summary>
        /// <param name="strsql">strsql字符型</param>
        public accselect(string strsql)
        {
            sql = strsql;
        }
        /// <summary>
        /// 构造函数,传递ACC参数查询语句
        /// </summary>
        /// <param name="strsql">参数查询语句</param>
        /// <param name="total">字节数</param> 
        public accselect(string strsql, int total)
        {
            sql = strsql;
            t = total;
        }
        /// <summary>
        /// 构造函数
        /// </summary>
        /// <param name="strsql">参数查询语句</param>
        /// <param name="total">字节数</param>
        /// <param name="value">OBJECT值</param>
        public accselect(string strsql, int total, object value)
        { 
            sql = strsql;
            t = total;
            v = value;
        }
        /// <summary>
        ///  getOdd方法返回OleDbDataReader
        /// </summary>
        /// <param name="odt">定义OleDbType类型</param>
        /// <returns></returns>
        public OleDbDataReader getOdd(OleDbType odt)
        {
            OleDbConnection conns = new OleDbConnection(this.conn);
            OleDbCommand cmd = new OleDbCommand(this.sql, conns); 
            OleDbParameter parm = new OleDbParameter("temp", odt, this.t);
            parm.Direction = ParameterDirection.Input;
            cmd.Parameters.Add(parm);
            cmd.Parameters[0].Value = this.v;
            conns.Open();
            OleDbDataReader oda = cmd.ExecuteReader();
            cmd.Dispose();
            return oda;
        }
        string Sql
        {
            get 
            {
                return sql;
            }
            set
            {
                sql = value;
            }
        }
        int T
        {
            get
            {
                return t;
            } 
            set
            {
                t = value;
            }
        }
        object V
        {
            get
            {
                return v;
            }
            set
            {
                v = value; 
            }
        }
    }
}
//调用方法
//accselect acc = new accselect();
//acc.sql = "select * from dtt where d_id=?";
//acc.t = 10;
//acc.v = 1;
//OleDbDataReader oda = acc.getOdd(OleDbType.VarChar);
//Repeater1.DataSource = oda;
//Repeater1.DataBind();

function acc_sql(sql,adotype,adodct,strlong,values)
dim connstring,mycmd,myrs,conn
  
  connString="Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db1.mdb")
  set conn = Server.CreateObject("Adodb.Connection")
  conn.ConnectionString = connString
  conn.open()
  set mycmd = Server.CreateObject("ADODB.Command")
  mycmd.ActiveConnection=conn
  mycmd.CommandText=sql
  mycmd.Prepared = true
  set mypar = mycmd.CreateParameter("temp",adotype,adodct,strlong,values)
  mycmd.Parameters.Append mypar
  set myrs = mycmd.Execute
  set acc_sql=myrs  
end function 
‘‘调用方法
‘‘dim rs
‘‘sql="select * from users where id=? order by id"
‘‘set rs=acc_sql(sql,3,1,4,1)
‘‘if not rs.eof then
    ‘‘response.Write(rs(1))
‘‘end if

转载自:http://www.aspnetjia.com/Cont-203.html

时间: 2024-10-01 15:53:55

ACCESS的参数化查询的相关文章

参数化查询

参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式. 原理: 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经

Sql Server参数化查询之where in和like实现详解

来自:http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein 文章导读 拼SQL实现where in查询 使用CHARINDEX或like实现where in 参数化 使用exec动态执行SQl实现where in 参数化 为每一个参数生成一个参数实现where in 参数化 使用临时表实现where in 参数化 like参数化查询 xml和DataTable传参  身为一名小小的程序猿,在日常开发中不可以

使用dapper进行参数化查询

在使用Dapper操作Mysql数据库中我介绍了使用dapper进行CURD基本操作,但在示例代码中参数虽然也是通过@开头,但其实不是真正意义的参数化查询,而是拼接sql,这种方式不利于防止sql注入,所以在Dappe中可以使用DynamicParameters动态参数集合添加参数,从而实现dapper下的参数化查询: 示例代码 using (var connection = new MySqlConnection(connstr)) { //声明动态参数 DynamicParameters P

.NET 出现参数化查询 需要参数但未提供该参数的错误

1.问题的来源 在.NET或者C#中,我们一般执行sql语句的话,推荐使用参数化查询,这样可以避免sql注入的攻击,但是,我在使用参数化查询的时候 出现了以下的错误,详细如下图: 图一这是写sql语句参数化查询的代码 图2 这是MSSQL执行的sql语句 2.问题的原因   出现这种错误的原因在于,在参数化查询的时候,有几个参数的值为null,这样的话,就出现了如图2所示的错误. 为啥会这样了?? 虽然参数的值就是为null,传入数据库中就必须变成DbNull.Value因为此null为c#的,

ADO.NET 参数化查询

使用参数化查询的情景有很多,但最常用的情景是需要用户在查询中进行输入的情况. 有两种方法可供使用.第一,可以讲用户输入嵌入到查询字符串中,例如可能使用.NET Framework中的String.Format函数. 第二种方法是构造一种参数化查询.      在开始时执行如下所示的基本查询: 1 select count(*) from UserInfo 2 3 4 where UserName=‘{0}’ and PassWord=‘{1}’      然后利用用户的输入构造如下查询: 1 s

参数化查询为什么能够防止SQL注入

很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的. 本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨. 首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译.重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划. 具体可能有点不一样,但大致的步骤如上所示. 接着我们来分析为什么拼接SQ

通用权限管理系统底层的参数化查询方法如何使用

通用权限管理系统底层的数据访问方法支持参数化查询. 先前没有使用参数化查询的语句是这样的 string conmmondText = " SELECT A.SITE_ID AID, A.SITE_NAME ANAME, B.SITE_ID BID, B.SITE_NAME BNAME" + " FROM (SELECT 1 AS ID, SITE_NAME, SITE_ID" + " FROM AREA_SUB" + " WHERE A

使用参数化查询防止SQL注入漏洞

参数化查询防止SQL注入漏洞 看别人的登录注册sql语句有没漏洞即可 Where  name='admin' or '1=1' and password='123'; 可以Or '1=1'就是漏洞 http://jingyan.baidu.com/article/27fa7326f53ea746f9271f79.html 以往的防御方式 以前对付这种漏洞的方式主要有三种: l        字符串检测:限定内容只能由英文.数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝.但缺点是,系统 中

参数化查询模糊查询

1.参数化查询模糊查询 sql语句: create proc procegDataAp( @UserName nvarchar(50))asselect * from users where [email protected] 给参数赋值 new SqlParameter("@UserName","%"+TxtsUserName.Text.Trim()+"%") 1 <%@ Page Language="C#" Auto