.net防止SQL注入的一种方式
2024-10-16 14:53:35
首先也要明白一点,什么是SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
1.直接参数化,那么在直接处理SQL语句时,把值给传递过来的时候,我们不要直接进行赋值,而是要把这些字段的值参数化,然后再进行赋值,后续还有其他的处理方式待补充,我也需要做个验证
cmd.CommandText = @"select count(*) from UserInfo where UserName=@UserName and UserPwd=@UserPwd";
cmd.Parameters.AddWithValue("@UserName",txtUserName.Text); //SQL参数化
cmd.Parameters.AddWithValue("@UserPwd",txtUserPwd.Text);
object result = cmd.ExecuteScalar();
最新文章
- Three.js的光源投影
- fiddler监听127.0.0.1或localhost
- NOI模拟赛 Day1
- 更加优雅地搭建SSH框架(使用java配置)
- 史上最全的HTML、CSS知识点总结,浅显易懂。
- ASP开发中服务器控件和普通控件的区别
- git使用具体介绍
- hdu 2844 Coins
- shell初步了解
- Scrapy框架--使用cookie
- 常用Nagios配置命令
- ASPxGridView中Command列自定义按钮点击事件概要
- Docker的基本组成
- 深入理解Java中的final关键字(转)
- HTTP消息头(HTTP headers)-常用的HTTP请求头与响应头
- MySql 应用语句
- jquery.autocomplete 搜索文字提示
- UVALive 5881
- 仿微信客户端 帧布局中加入fragment
- 关于Unity启动时间过长(启动黑屏时间长)的问题!!! 牛逼... 思路不错...
热门文章
- Flask系列06--(中间件)Flask的特殊装饰器 before_request,after_request, errorhandler
- [学习笔记]后缀自动机SAM
- Java - 集成开发环境Eclipse的使用方法和技巧
- js获取n分钟(或n小时或n个月)后(或前)的时间(日期)
- ES6中的元编程-Proxy &; Reflect
- flask的变量和函数
- [Spring]IOC控制反转和DI依赖注入
- MyBatis框架介绍及其实操
- xamarin自定义 application 无法调试
- Mac下使用Typora的一些简单操作