参数化查询为什么能够防止SQL注入

http://netsecurity.51cto.com/art/201301/377209.htm



OleDbDataAdapter Class

http://msdn.microsoft.com/en-us/library/system.data.oledb.oledbdataadapter.aspx



Sql Server 编译、重编译与执行计划重用原理

http://www.2cto.com/database/201301/183262.html

SQL语句很强大,很多时候需要拼凑SQL语句来完成某些功能,比如执行查询时候

SELECT * FROM Customers where CustomerID  like  '%inputCustomerId%' or CompanyName like '%inputCompanyName%'





假如有意使用途中字符串,会导致所有表中记录都能查询出来,为了避免这样的情况,需要使用参数化查询

1.首先想到使用store procedure

		Dim objCommand As OleDb.OleDbCommand

                objCommand = New OleDb.OleDbCommand

                With objCommand

                    .CommandText = "Test_StoreProcedure"

                    .Connection = connDbConnection

                    .CommandType = CommandType.StoredProcedure

                    .Parameters.AddWithValue("@CustomerId", customerId)

		    .Parameters.AddWithValue("@CompanyName", companyName)
		    .Parameters.AddWithValue("@ContactName", contactName)
                End With

                Dim ds As DataSet

                Dim objAdaptor As OleDb.OleDbDataAdapter

                objAdaptor = New OleDb.OleDbDataAdapter

                ds = New DataSet

                objCommand.Connection = connDbConnection

                objAdaptor.SelectCommand = objCommand

                objAdaptor.Fill(ds)

可是在store procedure 内部,依然需要拼凑出sql语句来返回结果,等于什么作用都没起

2.利用DataView

	    Dim dv As DataView = New DataView(dt)

            dv.FindRows("customerid like '%" + customerId + "'%")

可以看到这种方式仍然是拼凑条件字符串,不会起作用

3.利用CommandType.Text的OleDbCommand不需要结果集可以用objCommand.ExecuteNonQuery()

		Dim objCommand As OleDb.OleDbCommand                
		objCommand = New OleDb.OleDbCommand                
		With objCommand                   
		    .CommandText = "select * from customer where customerid like ? or companyname like ? or contactname like ?"                   
		    .Connection = connDbConnection                    .CommandType = CommandType.Text
                    .Parameters.AddWithValue("@CustomerId", customerId)

		    .Parameters.AddWithValue("@CompanyName", companyName)
		    .Parameters.AddWithValue("@ContactName", contactName)
                End With

                Dim ds As DataSet

                Dim objAdaptor As OleDb.OleDbDataAdapter

                objAdaptor = New OleDb.OleDbDataAdapter

                ds = New DataSet

                objCommand.Connection = connDbConnection

                objAdaptor.SelectCommand = objCommand

                objAdaptor.Fill(ds)

4.直接利用OleDbDataAdapter的SelectCommand.Parameters,返回dataset

  		Dim sql As String = "select * from customer where customerid like ? or companyname like ? or contactname like ?"

		Dim objAdaptor As OleDb.OleDbDataAdapter = New OleDb.OleDbDataAdapter(sql, connDb)

		objAdaptor.SelectCommand.Parameters.AddWithValue("@CustomerId", "%" + customerId + "%")

                objAdaptor.SelectCommand.Parameters.AddWithValue("@CompanyName", "%" + companyName + "%")

                objAdaptor.SelectCommand.Parameters.AddWithValue("@ContactName", "%" + contactName + "%")

		objAdaptor.Fill(ds)

在数据库端看到的执行语句会包含有参数的类型,如下

exec sp_executesql N'select * from customer where customerid LIKE @P1 and companyname LIKE @P2  and inputDate >= @P3 ',N'@P1 nvarchar(2),@P2 nvarchar(2),@P3 datetime',N'%%',N'%%','1900-01-02 00:00:00'

5.利用System.Data.Linq

DataContext db = new DataContext();

IQueryable<Customer> custs = db.Customers;

custs = custs.Where(o=>o.CustomerId.Contains(customerId));


custs = custs.Where(o=>o.CompanyName.Contains(companyName));


custs = custs.Where(o=>o.ContactName.Contains(contactName0);

如果传进去的customerId包含like等语句,则这个linq语句不能成功解析出对应的sql语句,会报错

6.很多时候数据库太复杂,需要用到各种数据库函数的时候,我们既想要利用sql语句来拼装,又不愿意冒着参数注入的危险,可以先用IQueryable<>或者IEnumerable<>来得到结果后再用where进行过滤

IEnumerable<Customer> custs = db.ExecuteQuery<Customer>("select top 5 * from customer");

custs = custs.Where(o=&gt;o.CustomerId.Contains(customerId));


 

防止sql注入的参数化查询的更多相关文章

  1. SQL注入与参数化查询

    SQL注入的本质 SQL注入的实质就是通过SQL拼接字符串追加命令,导致SQL的语义发生了变化.为什么发生了改变呢? 因为没有重用以前的执行计划,而是对注入后的SQL语句重新编译,然后重新执行了语法解 ...

  2. 多条件搜索问题 -sql拼接与参数化查询

    来源:传智播客  免费开发视频. 问题:根据书名或出版社或作者查询书籍信息. using System; using System.Collections.Generic问题; using Syste ...

  3. 利用DNS实现SQL注入带外查询(OOB)

    根据用于数据检索的传输信道,SQLi可分为三个独立的类别:inference(经典SQL注入),inband(盲注.推理注入.带内注入)和out-of-band 一.什么是OOB out-of-ban ...

  4. Sql Server 的参数化查询

    为什么要使用参数化查询呢?参数化查询写起来看起来都麻烦,还不如用拼接sql语句来的方便快捷.当然,拼接sql语句执行查询虽然看起来方便简洁,其实不然.远没有参数化查询来的安全和快捷. 今天刚好了解了一 ...

  5. SQL注入:基本查询原理

    SQL注入概述 sql注入不需要精通sql的各种命令,只需要了解几个命令并会使用即可. SQL注入:一种针对于数据库的攻击 现在的web网站都需要数据库的支持. SQL部分重要内容: 库:databa ...

  6. python之MySQL学习——防止SQL注入(参数化处理)

    import pymysql as ps # 打开数据库连接 db = ps.connect(host=', database='test', charset='utf8') # 创建一个游标对象 c ...

  7. 从sp_executesql中返回table型数据及动态SQL语句的参数化查询

    在返回分页数据时,我们会经常会用到参数化传递过滤条件,如何拼接SQL语句成了一个难题. 我们可以这样拼接: exec('sp_executesql sql语句,参数定义,参数值') sql语句和参数定 ...

  8. sql注入之双查询注入

    双查询注入前需要了解什么是子查询 子查询可以理解在一个select语句中再插入一个select 里面的select语句就是子查询 例子:select concat((select database() ...

  9. 对于SQL注入的理解

    从网上搜索的资料,结合自己的理解整理了一下,网友们在查看时若有发现问题,还请不吝指正,谢谢! 1.什么是SQL注入? ——官方说法:把SQL命令插入到web表单验证的输入框中,提交到服务器,以达到越过 ...

随机推荐

  1. 剑指offer40:一个整型数组里除了两个数字之外,其他的数字都出现了两次。请写程序找出这两个只出现一次的数字

    1 题目描述 一个整型数组里除了两个数字之外,其他的数字都出现了两次.请写程序找出这两个只出现一次的数字. 2 思路和方法 (1)异或:除了有两个数字只出现了一次,其他数字都出现了两次.异或运算中,任 ...

  2. 怎样理解document的快捷方式属性

    所谓 "快捷方式属性" , 也就是说它们不是必须的, 只是在操作dom时可以更为方便地获取. 主要有下面8个: 1. 获取当前文档所属的window对象: document.def ...

  3. eventFlow 系列 <一> 入门

    var exampleId = ExampleId.New; var commandBus = resolver.Resolve<ICommandBus>(); ,) var execut ...

  4. 9.动态SQL

    动态 SQL,主要用于解决查询条件不确定的情况:在程序运行期间,根据用户提交的查 询条件进行查询. 提交的查询条件不同,执行的 SQL 语句不同.若将每种可能的情况均逐一 列出,对所有条件进行排列组合 ...

  5. JPA中的主键生成策略

    通过annotation(注解)来映射hibernate实体的,基于annotation的hibernate主键标识为@Id, 其生成规则由@GeneratedValue设定的.这里的@id和@Gen ...

  6. Collection 和 Collections的区别

    1.java.util.Collection 是一个集合接口(集合类的一个顶级接口).它提供了对集合对象进行基本操作的通用接口方法.Collection接口在Java 类库中有很多具体的实现.Coll ...

  7. 程序面试题——C实现

    平台:win10 x64 +VC6.0 2019/5/22 1.合并三个有序的链表 链表节点定义struct node{    int val;    struct node* next;}; str ...

  8. Oracle笔记(十四) 用户管理

    SQL语句分为三类:DML.DDL.DCL,之前已经讲解完了DML和DDL,现在就差DCL操作的,DCL主要表示的是数据库的控制语句,控制的就是操作权限,而在DCL之中,主要有两个语法:GRANT.R ...

  9. Linux基础篇之FTP服务器搭建(一)

    一.配置网络可以访问互联网(没有条件的可以提前下载相关版本的依赖包(也叫安装包,以下统称依赖包)上传到系统中也可以). 二.检查系统中是否存在相关的依赖包. 没有返回信息,说明系统中不存在相关的依赖包 ...

  10. hibernate入门配置及第一个hibernate程序

    学习了hibernate后就想先给大家分享一下它的配置方法: jar包导入 一.数据库表的创建   二.开启hibernate配置 编译器:eclipse 数据库:mysql 1.创建第一个xml文件 ...