当前位置:首页 >> 教育精萃
C#参数化(防止SQL注入)
发布日期:2019-4-19    点击次数:1282

【字体: 】  【关闭窗口】  【打印该页】

* SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 
* 那么在执行语句的where语句后面的条件就永远为true 
* C#在数据库的这一块漏洞上添加了一个类来处理这个问题: 
* SqlParameter - using System.Data.SqlClient; 
* 原理就是让where条件后面字段不和整个执行语句化为一个字符串,而是以通过一个参数的形式传递进去 
* 这样可以达到两个效果: 
* 第一就是避免注入式攻击 
* 第二就是防止非法字符导致软件崩溃 
* 那么我们需要把原来的sql执行语句比如:string.format(“select * from user where id=’{0}’ and pwd = ‘{1}’”,id,pwd) 
* 更改为: “select * from user where id = @id and pwd = @pwd”; 
* 我们使用了@名 代替了占位符,而这个@名 原先是不存在不需要声明的。只需要在后面使用上面那么类声明一下就ok 
* Code: 
*

        SqlParameter i = new SqlParameter("@id",id);
 *      SqlParameter j = new SqlParameter("@pwd",pwd);
1
2
//第一参数是在sql语句中出现的名字,第二个参数是用来代替这个变量的真实的值-第一个参数需要用双引号
那么我们数据库执行语句搞定了,我们接下来会需要使用SqlCommand类来操作数据库,我们也需要对这个对象声明这个执行语句中的变量的意思
Code:
        SqlCommand cmd = new SqlCommand(sql,conn);
 *      cmd.Parameters.Add(i);
 *      cmd.Parameters.Add(j);
1
2
3
//有几个参数就添加几个
如果用户使用的是适配器- SqlDataAdapter
Code:
 *      SqlDataAdapter dat = new SqlDataAdapter(sql,conn);
 *      dat.SelectCommand.Parameters.Add(i);
 *      dat.SelectCommand.Parameters.Add(j);


完整实例:
Code:
            SqlConnection conn = new SqlConnection("...");
            conn.Open();
            string sqlSentence = "select * from user where id = @id and pwd = @pwd";
            SqlParameter id = new SqlParameter("@id",value1);
            SqlParameter pwd = new SqlParameter("pwd",value2);
            SqlCommand cmd = new SqlCommand(sqlSentence,conn);
            //SqlDataAdapter dat = new SqlDataAdapter(sqlSentence,conn);
            //dat.SelectCommand.Parameters.Add(id);
            //dat.SelectCommand.Parameters.Add(pwd);
            cmd.Parameters.Add(id);
            cmd.Parameters.Add(pwd);
            object obj = cmd.ExecuteScalar();
            conn.Close();

相关阅读