带参数的查询防止SQL注入攻击

Posted struggle_beiJing

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了带参数的查询防止SQL注入攻击相关的知识,希望对你有一定的参考价值。

  1. 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数”
  2. SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数:
    •  参数的设定:
      string strCmd = "SELECT AccountID FROM Account WHERE [email protected] AND [email protected]";

      对于SQL Server数据库,“@”是参数的前缀。上句中定义了两个参数:@AccountName,@password。

    • 在执行命令前给参数赋值:
          SqlCommand cmd = new SqlCommand(strCmd, conn);
          cmd.Parameters.AddWithValue("@AccountName", userName);
          cmd.Parameters.AddWithValue("@password", password);
          cmd.ExecuteReader();
  3. 可以看出,SQL中的参数就跟平常函数中的参数一样,先声明,后赋值。在执行SQL命名时,将会把参数值当成一个字符串整体来进行处理,即使参数值中包含单引号,也会把单引号当成单引号字符,而不是字符串的起止符。这样就在某种程度上消除了SQL注入攻击的条件。

 

代码示例:

 1         static void Main(string[] args)
 2         {
 3             string userName = "Joe";
 4             string password = "123456";
 5 
 6             string strConn = @"server=Joe-PC;database=AccountDBforSQLInjection;uid=sa;pwd=root";
 7             SqlConnection conn = new SqlConnection(strConn);
 8 
 9             string strCmd = "SELECT AccountID FROM Account WHERE [email protected] AND [email protected]";
10             SqlCommand cmd = new SqlCommand(strCmd, conn);
11 
12             cmd.Parameters.AddWithValue("@AccountName", userName);
13             cmd.Parameters.AddWithValue("@password", password);
14 
15             try
16             {
17                 conn.Open();
18                 SqlDataReader dr = cmd.ExecuteReader();
19                 if (dr.Read())
20                 {
21                     Console.WriteLine("成功");
22                 }
23                 else
24                 {
25                     Console.WriteLine("失败");
26                 }
27             }
28             catch (Exception e)
29             {
30                 Console.WriteLine(e);
31             }
32             finally
33             {
34                 conn.Close();
35             }
36         }

以上是关于带参数的查询防止SQL注入攻击的主要内容,如果未能解决你的问题,请参考以下文章

MyBatis如何防止SQL注入

MyBatis怎么防止SQL注入

SQL注入是什么?如何防止?

怎么防止SQL注入?

带参数的存储过程如何防止 SQL 注入

如何防止网站不被SQL注入攻击