防御SQL注入攻击方法之参数化查询
2013-05-15 14:37
134 查看
SQL注入攻击指的是通过构建特殊的输入作为参数传入应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
在应用程序编写过程中,针对可以通过使用参数化查询+参数入例检查的方法有效防范SQL注入攻击。
以ADO.NET中的sqlcommand为例:
string cmd_str = "DELETE FROM Employee_Infor WHERE EmployeeID =
@EmployeeID";
SqlCommand cmd = new SqlCommand(cmd_str, DB_CN);
cmd.Parameters.AddWithValue("@EmployeeID", MainDataGridView.CurrentRow.Cells[0].Value.ToString().Trim());
通过使用@标识的命令参数,同时如果能够添加相应的参数检查代码(上段代码并未列出)可以有效的预防SQL注入攻击。
同时附上一个很不错的ADO.NET学习链接:
http://csharp-station.com/Tutorial/AdoDotNet/
在应用程序编写过程中,针对可以通过使用参数化查询+参数入例检查的方法有效防范SQL注入攻击。
以ADO.NET中的sqlcommand为例:
string cmd_str = "DELETE FROM Employee_Infor WHERE EmployeeID =
@EmployeeID";
SqlCommand cmd = new SqlCommand(cmd_str, DB_CN);
cmd.Parameters.AddWithValue("@EmployeeID", MainDataGridView.CurrentRow.Cells[0].Value.ToString().Trim());
通过使用@标识的命令参数,同时如果能够添加相应的参数检查代码(上段代码并未列出)可以有效的预防SQL注入攻击。
同时附上一个很不错的ADO.NET学习链接:
http://csharp-station.com/Tutorial/AdoDotNet/
相关文章推荐
- 防止SQL注入攻击的基本方法
- XSS 和 CSRF 攻击的一些非常规防御方法
- u.vbe脚本和U.BAT批处理源代码的分析以及防御方法(未完待续)
- ADSL防御黑客攻击的十大方法
- ADSL上网用户 防御黑客攻击的十大方法
- SYN flood网络攻击的原理及其防御方法
- 网站被DDOS攻击的防御方法
- 常用网站攻击手段及防御方法
- SQL注入攻击与防御
- 在C#3.0中使用LINQ轻松防御SQL注入攻击
- sshd被攻击的自动防御方法v2
- TCP SYN洪泛攻击的原理及防御方法
- APT威胁防御方法
- [Mysql] 防御和检查SQL注入攻击的手段
- TCP SYN洪泛攻击的原理及防御方法
- 一些防止SQL注入攻击的方法
- ddos攻击教程:攻击原理与防御方法解析
- 防御SQL注入的方法总结
- sql注入攻击的各种注入方法
- .net core xss攻击防御的方法