比如:
string sql=”insert into category(name) values(‘ ”+name+” ’); //这样的数据输入是通过双引号进行的字符串拼接+字符串
注入语句:aaa’)delete category where-- //--表示,--后面的代码被注释掉后,就不执行了
而在单独的sql语句中:insert into category(name) values(‘aaa’)
insert into category(name) values(‘aaa’)delete category where--')
若要防止sql注入,可以使用带参数的@字符串,表示参数而不是字符串;
string sql=”insert into category(name) values(@caName); //去掉@caName外面本来的单引号
接下来时赋值给@caName:
sqlCommand.Parameters.Add(new sqlParameter (@caName “,jazyzheng));//把jazyzheng赋值到参数caName中
重新赋值为sql注入语句:
sqlCommand.Parameters.Add(new sqlParameter (@caName “,aaa’)delete category where--));
当在前台输入数据后(aaa’)delete category where--),数据是通过参数传入的,而不是通过直接的字符串拼接方式传入,所以输入的数据会直接被当做参数,而不会当做字符串而执行字符串中的sql语句。
有sqlCommand.Parameters.Add(),也有sqlCommand.Parameters.AddRange()。
有时候插入的sql语句参数不止一个,比如当插入新闻的时候,就会插入诸如标题,内容,时间等多个参数。AddRange传入的是一个数组。
sqlCommand.Parameters.AddRange(new sqlParameter[]
{
new sqlParameter(@caName,jazyzheng )
});
比较完整的代码:
public int ExecuteNonQuery(string sql,sqlParameter[] paras)
{
int res;
using (cmd = new sqlCommand(sql,GetConn()))
{
cmd.Parameters.AddRange(paras);
res = cmd.ExecuteNonQuery();
}
return res;
}
public bool Insert(string caName)
{
bool flag = false;
string sql = update category set [name]=@caName where id=@id;//需引用using System.Data.sqlClient;
sqlParameter[] paras = new sqlParameter[]
{
new sqlParameter(@id,ca.Id),
new sqlParameter(@caName,ca.Name)
};
int res = sqlhelper.ExecuteNonQuery(sql,paras);
if (res > 0)
{
flag = true;
}
return flag;
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。