拼接sql语句会造成sql注入,注入演示

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            FillData(dataGridView1);

        }

        private void FillData(DataGridView dataGrid)

        {

            string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                string sql = "select * from Employees where EmployeeID=\'" + textBox1.Text + "\'";

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    using (SqlDataAdapter sqlData = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlData.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

正常生成的Sql语句应该为

select * from Employees where EmployeeID=''

输入sql实际生成的Sql语句为

select * from Employees where EmployeeID='' or 1=1 --'

所有的数据都查询出来了

防止注入漏洞应该用SqlParameter做参数化查询

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            FillData(dataGridView1);

        }

        private void FillData(DataGridView dataGrid)

        {

            string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                string sql = "select * from Employees where EmployeeID=@EmployeeID";

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    SqlParameter[] sqlParameter = { new SqlParameter("@EmployeeID", textBox1.Text) };

                    sqlCommand.Parameters.AddRange(sqlParameter);

                    using (SqlDataAdapter sqlData = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlData.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

再输入sql注入会报错

如果用在登录或者未经授权的查询时很有用

重新整理代码

using System;

using System.Data;

using System.Windows.Forms;

using System.Data.SqlClient;

using System.Configuration;

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            string sql = "select * from Employees where EmployeeID=@EmployeeID";

            SqlParameter[] sqlParameter = { new SqlParameter("@EmployeeID", textBox1.Text) };

            FillGridView(sql, dataGridView1, sqlParameter);

        }

        private void FillGridView(string sql, DataGridView dataGrid, SqlParameter[] sqlParameter = null)

        {

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    if (sqlParameter != null)

                    {

                        sqlCommand.Parameters.AddRange(sqlParameter);

                    }

                    using (SqlDataAdapter sqlDataAdapter = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlDataAdapter.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

参数化查询防止Sql注入的更多相关文章

  1. 使用参数化查询防止SQL注入漏洞

    参数化查询防止SQL注入漏洞 看别人的登录注册sql语句有没漏洞即可 Where  name=‘admin’ or ‘1=1’ and password=’123’; 可以Or ‘1=1’就是漏洞 h ...

  2. 023. Asp.net参数化查询预防Sql注入攻击

    /// <summary> /// 参数化查询预防SQL注入式攻击 /// </summary> public int checkLogin(string loginName, ...

  3. 使用参数化查询防止SQL注入漏洞(转)

    SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询: string sql * FROM [User] WHERE UserName ...

  4. python mysql参数化查询防sql注入

    一.写法 cursor.execute('insert into user (name,password) value (?,?)',(name,password)) 或者 cursor.execut ...

  5. mybatis模糊查询防止SQL注入

    SQL注入,大家都不陌生,是一种常见的攻击方式.攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序.所以,在我们的应用 ...

  6. 安全 -- mysql参数化查询,防止Mysql注入

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) ...

  7. MySQL参数化有效防止SQL注入

    sql语句的参数化,可以有效防止sql注入 注意:此处不同于python的字符串格式化,全部使用%s占位 from pymysql import * def main(): find_name = i ...

  8. ADO.NET笔记——带参数的查询防止SQL注入攻击

    相关知识: 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数” SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数 ...

  9. 带参数的查询防止SQL注入攻击

    把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数” SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数: 参数的设 ...

随机推荐

  1. Android Studio优化编译速度

    随着Android Studio的不断完善,其安卓开发者阵营也基本从Eclipse转移到了Android Studio,毕竟Android Studio是谷歌亲力亲为开发的官方开发软件.不过其最重要的 ...

  2. linux自由软件安装 ./config, make的理解 -- ongoing

    在linux系统中安装软件的其中一种:源码安装的方法是,先输入./configure,然后输入make,最后make install.或许有人留意到没有,这些软件的根目录中开始是没有Makefile的 ...

  3. Visual Studio中Debug与Release以及x86、x64、Any CPU的区别

    Visual Studio中Debug与Release的区别: 在Visual Studio中,编译模式有2种:Debug与Release.这也是默认的两种方式,在新建一个project的时候,就已经 ...

  4. 纯C++实现操作配置文件(告别跨平台问题)

    CConfig.h #ifndef _CCONFIG_H #define _CCONFIG_H #include <iostream> #include <string> #i ...

  5. 洛谷 P1019单词接龙

    看吧,多简单啊,没有人受伤的世界完成了.                                                                                ...

  6. VUE创建项目

    Vue Cli项目搭建     vue项目需要自建服务器:node 什么是node: 用C++语言编写,用来运行JavaScript语言 node可以为前端项目提供server (包含了socket) ...

  7. Spring Cloud 中注册中心Eureka客户端配置

    注册中心配置客户端(注册一个虚拟的商品服务) 一.新建项目:     1.创建一个SpirngBoot应用,增加服务注册和发现依赖     2.模拟商品信息,存储在内存中     3.开发商品列表接口 ...

  8. mysql 行(记录)的详细操作

    阅读目录 一 介绍 二 插入数据INSERT 三 更新数据UPDATE 四 删除数据DELETE 五 查询数据SELECT 六 权限管理 一 介绍 MySQL数据操作: DML =========== ...

  9. 模块 time 和 datetime

    目录 时间模块time datatime time 模块 datetime 模块 时间模块time datatime time 模块 在Python中,通常有这三种方式来表示时间:时间戳.元组(str ...

  10. 20190924-LeetCode解数独题目分享

    解决数独 题目描述 编写一个程序,通过已填充的空格来解决数独问题. 一个数独的解法需遵循如下规则: 数字 1-9 在每一行只能出现一次. 数字 1-9 在每一列只能出现一次. 数字 1-9 在每一个以 ...