拼接字符串改为 @字段名,防止注入攻击

Console.WriteLine("请输入要查询的代号");

string code = Console.ReadLine();

SqlConnection conn = new SqlConnection("server=.;database=mydb;uid=sa;pwd=123");

SqlCommand cmd = conn.CreateCommand();

try

{

//局部变量传参数,防止字符串注入攻击

cmd.CommandText = "select * from Test where Code [email protected]";

cmd.Parameters.AddWithValue("@code", code);

conn.Open();

SqlDataReader dr = cmd.ExecuteReader();

while (dr.Read())

{

Console.WriteLine("{0}\t{1}", dr[0], dr[1]);

}

}

catch (Exception)

{

throw;

}

finally

{

conn.Close();

}

时间: 2024-08-26 09:42:53

拼接字符串改为 @字段名,防止注入攻击的相关文章

sql 多条件查询 拼接字符串 改成 普通查询格式

set ANSI_NULLS ON set QUOTED_IDENTIFIER ON go ALTER PROC [dbo].[usp_SRV_CheckServiceDemandOrder] @AInsNO NVARCHAR(50) =null,--必填 @ACompanyName NVARCHAR(50) = null,--必填 @ADepartmentName NVARCHAR(50) = null, @AName NVARCHAR(50) = null, --必填 @ApplicantI

Java对象转换成Json字符串是无法获得对应字段名

问题: 代码中已经标注 @JSONField(name = "attrs") private String abc; public String getA() { return abc; } public void setA(String abc) { this.abc = abc; } 在发送消息的时候,会发现消息接受到的Json消息是abc对应的字段是a. 解决方法: 发现这个问题的时候,大概感觉应该是get和set函数名的为题,将其改成getAbc(),setAbc(),再发送消

Oracle中使用游标获取指定数据表的所有字段名对应的字符串

操作步骤:打开PLSQL Developer后,直接执行下面的语句就可以出来 --Oracle中使用游标获取指定数据表的所有字段名对应的字符串 declare mytablename VARCHAR(255):='STAFFDOC'; --定义要查询的数据表名变量,STAFFDOC为我测试用的数据表名,请修改成您的数据库中的对应数据表名字mystring NVARCHAR2(4000):=''; --定义要输出的字符串变量 cursor mycursor is --定义游标          s

C# LinQ 通过字段名对应的字符串取得和设置字段值!

typ.GetType().GetProperty("BPlate").GetValue(typ, null).ToString(); spa1.GetType().GetProperty(KeyString).SetValue(spa1, val, null); 返回结果是:SA-240 304 C# LinQ 通过字段名对应的字符串取得和设置字段值!,布布扣,bubuko.com

AutoCAD.Net/C#.Net QQ群:193522571 LinQ 已知字段名的字符串如何从一个表中取得这个字符串对应字段的所有记录

代码如下: 其中cbFace.Text为字段名,TableFace为表名 var PnFace = (from n in TableFace select n.GetType().GetProperty(cbFace.Text).GetValue(n, null)); 如果需要将获取的结果进行强制转换可以在select后的字段前加上转换语句 var PnFace = (from n in TableFace select (double)n.GetType().GetProperty(cbFac

mybatis动态调用表名和字段名

一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能.今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到.这种情况下,就需要构建sql来动态传入表名.字段名了.现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助. 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理.下面让我们先

[转]MyBatis动态传入表名,字段名参数的解决办法

一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能.今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到.这种情况下,就需要构建sql来动态传入表名.字段名了.现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助. 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理.下面让我们先

MySQL拼接字符串,GROUP_CONCAT 值得拥有

上一篇文章 跨表更新,看到自己写的SQL像个憨憨写了关于跨表个更新的内容.一年过的很快,文中后来的两位员工 馮大 和 馮二 也要面对无情的 KPI 考核了,他们工作干的很不错,performance 分别是 4 和 5 新需求来了,静悄悄的来了!!! 领导想要查看每个 performance 下都有谁,同时要求将这些人的名称要逗号拼接成一个字符串,也就是说要得到下面的结果: 要将结果集中某个指定的列进行字符串拼接,这要怎么做呢?主角闪亮?登场 GROUP_CONCAT(expr) 在 Mysql

ADO.net 防止SQL 字符串注入攻击

规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容 防止SQL注入攻击 通用方法:可以用正则匹配掉特殊符号 推荐方法:再给命令发送SQL语句的时候分两次发送 把SQL语句拆成两块 用户输入的是一块:本身写好的是一块 第一次把CommandText里写的sql语句发过去:第二次把变量值发过去,进行匹配 例: