碼上快樂

相關內容    簡體    繁體

c# 登錄 防止sql注入 mysql數據庫

本文轉載自   查看原文   2018-10-04 11:14   1556    C#

利用參數化 防止SQL注入

    public string serachName(string name)
        {
            
            string result = "";
            try
            {
                conn.Open();
                string sqlstr = "select * from student where name like @serach_name";
                SqlParameter namevalue = new SqlParameter("@serach_name", name);
                MySqlCommand cmd = new MySqlCommand(sqlstr, conn);
                cmd.Parameters.AddRange(new MySqlParameter[] { new MySqlParameter("@serach_name", MySqlDbType.String) { Value = "%" + name + "%" } });
                MySqlDataReader reader = cmd.ExecuteReader();
               
                while(reader.Read())
                {
                    int sno = reader.GetInt32(reader.GetOrdinal("sno"));
                    string tempname = reader.GetString(reader.GetOrdinal("name"));
                    string sex = reader.GetString(reader.GetOrdinal("sex"));
                    int age = reader.GetInt32(reader.GetOrdinal("age"));
                    result += sno + " " + tempname + " " + sex + " " + age + "<br>";
                } 
            }catch(Exception ex)
            {
                Console.WriteLine(ex.ToString());
            }
            finally
            {
                conn.Close();
            }
            return result;
        }

 stirng nn="aa or 1=1";
"select * from tb where t1='"+nn+"'";


//防注入
"select * from tb where t1=@N";
cmd.Parameters.Add(new SqlParameter(@N,aa or 1=1));

 

第一句

select * from tb where t1='aa' or 1=1

第二句

select * from tb where t1='aa' or 1=1'


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 C# 防止SQL注入 jdbc java數據庫連接 8)防止sql注入 Mysql數據庫之sql漏洞注入 SQL數據庫學習之路(練習)---C#登錄界面連數據庫 JDBC鏈接數據庫,動態sql條件查詢in查詢防止sql注入; .net在Oracle數據庫中為In條件查詢防止sql注入參數化處理 【數據庫】 防止sql注入,過濾敏感關鍵字 MySQL數據庫防SQL注入原理 SQL數字型注入(mysql數據庫) C# 監控sql數據庫
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM