c# 登录防止sql注入 mysql数据库

本文转载自查看原文 2018-10-04 11:14 1556 C#

利用参数化防止SQL注入

    public string serachName(string name)
        {
            
            string result = "";
            try
            {
                conn.Open();
                string sqlstr = "select * from student where name like @serach_name";
                SqlParameter namevalue = new SqlParameter("@serach_name", name);
                MySqlCommand cmd = new MySqlCommand(sqlstr, conn);
                cmd.Parameters.AddRange(new MySqlParameter[] { new MySqlParameter("@serach_name", MySqlDbType.String) { Value = "%" + name + "%" } });
                MySqlDataReader reader = cmd.ExecuteReader();
               
                while(reader.Read())
                {
                    int sno = reader.GetInt32(reader.GetOrdinal("sno"));
                    string tempname = reader.GetString(reader.GetOrdinal("name"));
                    string sex = reader.GetString(reader.GetOrdinal("sex"));
                    int age = reader.GetInt32(reader.GetOrdinal("age"));
                    result += sno + " " + tempname + " " + sex + " " + age + "<br>";
                } 
            }catch(Exception ex)
            {
                Console.WriteLine(ex.ToString());
            }
            finally
            {
                conn.Close();
            }
            return result;
        }

stirng nn="aa or 1=1";
"select * from tb where t1='"+nn+"'";

//防注入
"select * from tb where t1=@N";
cmd.Parameters.Add(new SqlParameter(@N,aa or 1=1));

第一句

select * from tb where t1='aa' or 1=1

第二句

select * from tb where t1='aa' or 1=1'

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 C# 防止SQL注入 jdbc java数据库连接 8）防止sql注入 Mysql数据库之sql漏洞注入 SQL数据库学习之路（练习）---C#登录界面连数据库 JDBC链接数据库，动态sql条件查询in查询防止sql注入； .net在Oracle数据库中为In条件查询防止sql注入参数化处理【数据库】防止sql注入,过滤敏感关键字 MySQL数据库防SQL注入原理 SQL数字型注入(mysql数据库) C# 监控sql数据库

c# 登录 防止sql注入 mysql数据库

免责声明！

c# 登录防止sql注入 mysql数据库