--SQl中

--建立ren的数据库,插入一条信息

create database ren

go

use ren

go

create table xinxi

(

code nvarchar(20) primary key,--编号

name nvarchar(50)--名字

)

insert into xinxi values('','zhangsan')
            for (; ; )

            {

                bool b = false;//利用中间变量

                Console.Write("请输入要修改的编号:");

                string no = Console.ReadLine();

                //查询展示

                SqlConnection zhancnn = new SqlConnection("server=.;database=ren;user=sa;pwd=123");//连接

                //操作的语句

                SqlCommand zhancmd = zhancnn.CreateCommand();

                zhancmd.CommandText = "select * from xinxi where code='" + no + "'";

                //执行操作的语句

                zhancnn.Open();

                SqlDataReader ss = zhancmd.ExecuteReader();

                if (ss.HasRows)//数据库中是否有要修改的数据

                {

                    b = true;

                }

                zhancnn.Close();

                if (b == true)//如果有要修改的数据

                {

                    Console.Write("找到【" + no + "】的信息,请输入要修改的名字:");

                    string mingzi = Console.ReadLine();

                    zhancmd.CommandText = "update xinxi set name='"+mingzi+"' where code='"+no+"'";

                    zhancnn.Open();

                    zhancmd.ExecuteNonQuery();

                    zhancnn.Close();

                    Console.WriteLine("修改完毕!");

                    break;

                }

                else//如果没有要修改的数据

                {

                    Console.WriteLine("数据库中没有该条信息,请输入正确的编码!!");

                }

            }

            Console.ReadLine();

执行时,,注意,我就要输入了:

然后查询数据库,查询全部,就成为了

为了防止这种注入文字攻击,我们就需要:

//C#中 

for (; ; )

            {

                bool b = false;//利用中间变量

                Console.Write("请输入要修改的编号:");

                string no = Console.ReadLine();

                //查询展示

                SqlConnection zhancnn = new SqlConnection("server=.;database=ren;user=sa;pwd=123");//连接

                //操作的语句

                SqlCommand zhancmd = zhancnn.CreateCommand();

                zhancmd.CommandText = "select * from xinxi where code='" + no + "'";

                //执行操作的语句

                zhancnn.Open();

                SqlDataReader ss = zhancmd.ExecuteReader();

                if (ss.HasRows)//数据库中是否有要修改的数据

                {

                    b = true;

                }

                zhancnn.Close();

                if (b == true)//如果有要修改的数据

                {

                    Console.Write("找到【" + no + "】的信息,请输入要修改的名字:");

                    string mingzi = Console.ReadLine();

                    zhancmd.CommandText = "update xinxi set name=@mingzi where code=@no;";//@变量名:占位符。注意:name=@mingzi没有引号

                 zhancmd.Parameters.Clear();//必须先清空里面所有内容

                 zhancmd.Parameters.Add("@mingzi",mingzi);//类似哈希表。第一个值随便取,必须跟上边一致;第二个是变量

                 zhancmd.Parameters.Add("@no",no);

                    zhancnn.Open();

                    zhancmd.ExecuteNonQuery();

                    zhancnn.Close();

                    Console.WriteLine("修改完毕!");

                    break;

                }

                else//如果没有要修改的数据

                {

                    Console.WriteLine("数据库中没有该条信息,请输入正确的编码!!");

                }

            }

            Console.ReadLine();
//如果在执行窗口输入上跟上次一样的内容,那么输出的结果就是把”那句注入的代码“和”要改的name“ 作为一整个字符串进行处理。

C#和SQl 注入字符串的攻击 和 防止注入字符转的攻击的更多相关文章

  1. 网络安全学习阶段性总结:SQL注入|SSRF攻击|OS命令注入|身份验证漏洞|事物逻辑漏洞|目录遍历漏洞

    目录 SQL注入 什么是SQL注入? 掌握SQL注入之前需要了解的知识点 SQL注入情况流程分析 有完整的回显报错(最简单的情况)--检索数据: 在HTTP报文中利用注释---危险操作 检索隐藏数据: ...

  2. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

  3. SQL注入测试平台 SQLol -2.SELECT注入测试

    前面,我们已经安装好了SQLol,打开http://localhost/sql/,首先跳转到http://localhost/sql/select.php,我们先从select模块进行测试. 一条完成 ...

  4. 【sql注入】简单实现二次注入

    [sql注入]简单实现二次注入 本文转自:i春秋社区 测试代码1:内容详情页面 [PHP] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 1 ...

  5. Sql 注入详解:宽字节注入+二次注入

    sql注入漏洞 原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了. 攻击方式: (1) 权限较大时,直接写入webshel ...

  6. C# 过滤sql特殊字符串方法

    1. /// <summary>    /// 过滤不安全的字符串    /// </summary>    /// <param name="Str" ...

  7. [转]SQL Server字符串处理函数大全

    select语句中只能使用sql函数对字段进行操作(链接sql server), select 字段1 from 表1 where 字段1.IndexOf("云")=1;这条语句不 ...

  8. MSSQL Server数据库的四种连接方法和sql连接字符串

    MSSQL Server数据库的四种连接方法和sql连接字符串 分类: [ 03 ] C#(131) [ 07 ] SQL Server(68) [ 01 ] .NET(189) 今天用SQL Ser ...

  9. sql sever 字符串函数

    SQL Server之字符串函数   以下所有例子均Studnet表为例:  计算字符串长度len()用来计算字符串的长度 select sname ,len(sname) from student ...

  10. SQL判断字符串里不包含字母

    Oracle: 方法一:通过To_Number 函数异常来判断,因为这个函数在转换不成功的时候是报错,所以只能用存储过程包装起来. CREATE OR REPLACE FUNCTION Is_Numb ...

随机推荐

  1. php中时间戳和日期格式的转换

    一,PHP时间戳函数获取指定日期的unix时间戳 strtotime(”2009-1-22″) 示例如下: echo strtotime(”2009-1-22″) 结果:1232553600 说明:返 ...

  2. java 项目打包流程速记

    1.与资源库同步 2.[解决冲突] --可能没有这一步 3.合并标记 4.清除一下项目-- clean 5.打包: run As -->Maven install 6.去服务备份原包,下载服务 ...

  3. [tp3.2.1]开启URL(重写模式),省略URL中的index.php

    重写模式(省略url中的index.php) 在apache配置文件httpd.conf中,查找 1.mod_rewrite.so, 启动此模块 2.AllowOverride , 值= All 3. ...

  4. 【linux】暂时解决sis m672(神舟F4000 D9) linux驱动 宽屏分辨率的问题?

    1. 首先安装包 sudo apt-get install gcc make binutils git xorg-dev mesa-common-dev libdrm-dev libtool buil ...

  5. js表单提交一种方式

    在一个html和php混编的文件中,用到js提交表单的方法: 定义表单id为form1,提交按钮type为submit, var data_info = document.getElementById ...

  6. 解析php mysql 事务处理回滚操作

    论坛扣币项目中,用户支付论坛币的时候如果突然断网.电脑死机.停电.等其它自然灾害时,导致本次交易没有成功(即用户的币已经扣掉了,但是服务器数据库中没有消费记录等其它情况),这种情况应该怎么样进行处理呢 ...

  7. error CS0007: Unexpected common language runtime initialization error -- '没有注册类别 '

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework]"Inst ...

  8. UIPage

    分页控件是一种用来取代导航栏的可见指示器,方便手势直接翻页,最典型的应用便是iPhone的主屏幕,当图标过多会自动增加页面,在屏幕底部你会看到原点,用来只是当前页面,并且会随着翻页自动更新. 一.创建 ...

  9. 从Windows 8 安装光盘安装.NET Framework 3.5.1

    在安装一些应用时, 例如安装 Oracle, 可能会缺少了安装 .Net FrameWork 3.5.1 无法继续. 最简单的方法当时是,直接进 控制面板, 在添加删除程序内, 选择增加Windows ...

  10. ubuntu下搭建JAVA开发环境【转】

    转自:http://jingyan.baidu.com/article/86fae346b696633c49121a30.html JAVA开发环境是一种跨平台的程序设计语言,可以在windows.L ...