C#参数化(防止SQL注入)

C#参数化(防止SQL注入)

2018年08月08日 16:12:43 One_Piece_Fu 阅读数 968更多

分类专栏： C#

转：https://blog.csdn.net/lsuwen/article/details/53224945

/*
* C#防止SQL注入式攻击
* Author:ICE FROG
* TIME:2016/4/20
*/

/*
* SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击
* 那么在执行语句的where语句后面的条件就永远为true
*
* C#在数据库的这一块漏洞上添加了一个类来处理这个问题：
* SqlParameter - using System.Data.SqlClient;
* 原理就是让where条件后面字段不和整个执行语句化为一个字符串，而是以通过一个参数的形式传递进去
* 这样可以达到两个效果：
* 第一就是避免注入式攻击
* 第二就是防止非法字符导致软件崩溃
* 那么我们需要把原来的sql执行语句比如：string.format(“select * from user where id=’{0}’ and pwd = ‘{1}’”,id,pwd)
* 更改为： “select * from user where id = @id and pwd = @pwd”;
* 我们使用了@名 代替了占位符，而这个@名 原先是不存在不需要声明的。只需要在后面使用上面那么类声明一下就ok
* Code：
*

1. SqlParameter i = new SqlParameter("@id",id);

2. * SqlParameter j = new SqlParameter("@pwd",pwd);

• //第一参数是在sql语句中出现的名字，第二个参数是用来代替这个变量的真实的值-第一个参数需要用双引号
• 那么我们数据库执行语句搞定了，我们接下来会需要使用SqlCommand类来操作数据库，我们也需要对这个对象声明这个执行语句中的变量的意思
• Code：
•  

1. SqlCommand cmd = new SqlCommand(sql,conn);

2. * cmd.Parameters.Add(i);

3. * cmd.Parameters.Add(j);

• //有几个参数就添加几个
• 如果用户使用的是适配器- SqlDataAdapter
• Code:

1. * SqlDataAdapter dat = new SqlDataAdapter(sql,conn);

2. * dat.SelectCommand.Parameters.Add(i);

3. * dat.SelectCommand.Parameters.Add(j);

• 完整实例：
• Code：

1. SqlConnection conn = new SqlConnection("...");

2. conn.Open();

3. string sqlSentence = "select * from user where id = @id and pwd = @pwd";

4. SqlParameter id = new SqlParameter("@id",value1);

5. SqlParameter pwd = new SqlParameter("pwd",value2);

6. SqlCommand cmd = new SqlCommand(sqlSentence,conn);

7. //SqlDataAdapter dat = new SqlDataAdapter(sqlSentence,conn);

8. //dat.SelectCommand.Parameters.Add(id);

9. //dat.SelectCommand.Parameters.Add(pwd);

10. cmd.Parameters.Add(id);

11. cmd.Parameters.Add(pwd);

12. object obj = cmd.ExecuteScalar();

13. conn.Close();