zoukankan      html  css  js  c++  java
  • 参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET 20120309 09:57 2360人阅读 评论(0) 收藏

    防止SQL注入漏洞攻击的有两种方法:

    1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法,

    2)参数化查询SQL语句


    举例如下:

    //实例化Connection对象
            SqlConnection con = new SqlConnection("数据库连接字符串");    //为添加数据库连接字符串
            //实例化Command对象
            SqlCommand cmd = new SqlCommand("SELECT * FROM UserInfo where Sex=@sex  and age=@age", con);
    
            //SqlCommand cmd = con.CreateCommand();
    
            //cmd.CommandText="SELECT * FROM UserInfo where Sex=@sex  and age=@age";
    
            //第一种添加查询参数的例子
            cmd.Parameters.AddWithValue("@sex", true);
    
            //第二种添加查询参数的例子
            SqlParameter Parameter = new SqlParameter("@age", SqlDbType.Int);
    
            Parameter.Value = 30;
            cmd.Parameters.Add(Parameter);  //添加参数
    
            //实例化DataAdapter
    
            SqlDataAdapter adapter = new SqlDataAdapter(cmd);
            DataTable data = new DataTable();


    版权声明:本文为博主原创文章,未经博主允许不得转载。

  • 相关阅读:
    oracle 语句 笔记
    10:基于Tomcat部署Web工程
    8.为什么IntelliJ IDEA首次加载比较慢
    04 全局配置,java 编意默认版本,1.6.修改配置
    02 IDEA创创建第一个maven工程
    01 安装IDEA
    spring security权限架架mvn坐标
    RBAC基于角色的权限访问控制
    MyBatis 中的#和$的区别
    python数据相关性分析 (计算相关系数)
  • 原文地址:https://www.cnblogs.com/yisuowushinian/p/4715673.html
Copyright © 2011-2022 走看看