ADO.Net——防止SQL注入攻击
2024-08-28 09:10:27
规避SQL注入
如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击
如:输入Code值
p001' union select * from Info where '1'='1 //这样可以查询到所有数据,不要轻易相信用户输入的内容
防止SQL注入攻击
通用方法:可以用正则匹配掉特殊符号
推荐方法:再给命令发送SQL语句的时候分两次发送
把SQL语句拆成两块
用户输入的是一块;本身写好的是一块
第一次把CommandText里写的sql语句发过去;第二次把变量值发过去,进行匹配
例:
使列名等于一个变量名
改变量绑定参数 cmd.Parameters.AddWithValue("变量名称",变量值);
cmd.Parameters是对象里面的一个属性,返回值是一个集合
有时会用到同样的变量名 所以在绑定参数之前先清除一下cmd.Parameters.Clear();
最新文章
- 提高Axure设计效率的10条建议
- Norflash控制器的Verilog建模之一
- delphi 判断调试状态
- delphi 判断是否出现滚动条
- JQuery Kendo UI使用技巧总结
- Fixing common issues when hosting a .NET 4.0 WCF service in IIS 7
- J2EE之ANT
- myeclipse解决JSP文件script调整背景颜色
- Python2 中文编码处理
- JavaWeb总结(一)—Servlet
- 对于hive使用的一点记录
- opencv + cuda编译
- antd Tree组件中,自定义右键菜单
- 事务理解及Spring中的事务
- BZOJ.2301.[HAOI2011]Problem B(莫比乌斯反演 容斥)
- [USACO4.4]追查坏牛奶Pollutant Control
- Java 抽象类和抽象方法
- HDU 1565 1569 方格取数(最大点权独立集)
- Ubuntu系统-网络配置
- HDU 2553 N皇后问题【棋盘型DFS】