zoukankan      html  css  js  c++  java
  • 参数化SQL语句,防止SQL注入漏洞攻击 分类: ASP.NET 20120309 09:57 2360人阅读 评论(0) 收藏

    防止SQL注入漏洞攻击的有两种方法:

    1)第一种是所有的SQL语句都存放在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法,

    2)参数化查询SQL语句


    举例如下:

    //实例化Connection对象
            SqlConnection con = new SqlConnection("数据库连接字符串");    //为添加数据库连接字符串
            //实例化Command对象
            SqlCommand cmd = new SqlCommand("SELECT * FROM UserInfo where Sex=@sex  and age=@age", con);
    
            //SqlCommand cmd = con.CreateCommand();
    
            //cmd.CommandText="SELECT * FROM UserInfo where Sex=@sex  and age=@age";
    
            //第一种添加查询参数的例子
            cmd.Parameters.AddWithValue("@sex", true);
    
            //第二种添加查询参数的例子
            SqlParameter Parameter = new SqlParameter("@age", SqlDbType.Int);
    
            Parameter.Value = 30;
            cmd.Parameters.Add(Parameter);  //添加参数
    
            //实例化DataAdapter
    
            SqlDataAdapter adapter = new SqlDataAdapter(cmd);
            DataTable data = new DataTable();


    版权声明:本文为博主原创文章,未经博主允许不得转载。

  • 相关阅读:
    AC自动机
    【洛谷P1972】HH的项链
    【洛谷P4341】外星联络
    【洛谷P4576】棋盘游戏
    【JZOJ3800】败屩妖
    【JZOJ3798】临洮巨人
    【洛谷P3830】随机树
    【JZOJ3799】青蛙神
    牛客练习赛56 题解
    【洛谷P5300】与或和
  • 原文地址:https://www.cnblogs.com/yisuowushinian/p/4715673.html
Copyright © 2011-2022 走看看