参数化SQL语句,防止SQL注入漏洞攻击
2012-03-09 09:57
543 查看
防止SQL注入漏洞攻击的有两种方法:
1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法,
2)参数化查询SQL语句
举例如下:
1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法,
2)参数化查询SQL语句
举例如下:
//实例化Connection对象
SqlConnection con = new SqlConnection("数据库连接字符串"); //为添加数据库连接字符串
//实例化Command对象
SqlCommand cmd = new SqlCommand("SELECT * FROM UserInfo where Sex=@sex and age=@age", con);
//SqlCommand cmd = con.CreateCommand();
//cmd.CommandText="SELECT * FROM UserInfo where Sex=@sex and age=@age";
//第一种添加查询参数的例子
cmd.Parameters.AddWithValue("@sex", true);
//第二种添加查询参数的例子
SqlParameter Parameter = new SqlParameter("@age", SqlDbType.Int);
Parameter.Value = 30;
cmd.Parameters.Add(Parameter); //添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new SqlDataAdapter(cmd);
DataTable data = new DataTable();
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET 2012-03-09 09:57 2360人阅读 评论(0) 收藏
- 参数化SQL语句,防止SQL注入漏洞攻击
- SQL注入专题--整理帖 && like 语句拼sql 如何防止注入攻击。
- ADO.NET防止SQL注入漏洞攻击,两种参数查询
- php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 执行带参数的Sql语句(防止注入)
- php防止sql注入漏洞代码 && 几种常见攻击的正则表达式
- asp利用Parameters对象,实现防止sql注入,执行sql语句并返回变量值
- sql语句不应该直接带参数是为了防止sql注入攻击
- 防止sql语句编写注入攻击
- 利用sql预处理语句 防止sql注入
- SQL或HQL预编译语句,可以防止SQL注入,可是不能处理%和_特殊字符
- 很全的SQL注入语句,有SQL漏洞的都可以拿下
- (非原)SQL注入专题--整理帖 && like 语句拼sql 如何防止注入攻击。
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- c# 防止sql注入对拼接sql脚本的各个参数处理
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 使用ADO.NET的参数集合来有效防止SQL注入漏洞 推荐
- 防止程序SQL语句错误以及SQL注入