拼接sql语句会造成sql注入,注入演示

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            FillData(dataGridView1);

        }

        private void FillData(DataGridView dataGrid)

        {

            string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                string sql = "select * from Employees where EmployeeID=\'" + textBox1.Text + "\'";

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    using (SqlDataAdapter sqlData = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlData.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

正常生成的Sql语句应该为

select * from Employees where EmployeeID=''

输入sql实际生成的Sql语句为

select * from Employees where EmployeeID='' or 1=1 --'

所有的数据都查询出来了

防止注入漏洞应该用SqlParameter做参数化查询

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            FillData(dataGridView1);

        }

        private void FillData(DataGridView dataGrid)

        {

            string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                string sql = "select * from Employees where EmployeeID=@EmployeeID";

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    SqlParameter[] sqlParameter = { new SqlParameter("@EmployeeID", textBox1.Text) };

                    sqlCommand.Parameters.AddRange(sqlParameter);

                    using (SqlDataAdapter sqlData = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlData.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

再输入sql注入会报错

如果用在登录或者未经授权的查询时很有用

重新整理代码

using System;

using System.Data;

using System.Windows.Forms;

using System.Data.SqlClient;

using System.Configuration;

namespace WindowsFormsApp1

{

    public partial class Form1 : Form

    {

        string connStr = ConfigurationManager.ConnectionStrings["Northwind"].ConnectionString;

        public Form1()

        {

            InitializeComponent();

        }

        private void button1_Click(object sender, EventArgs e)

        {

            string sql = "select * from Employees where EmployeeID=@EmployeeID";

            SqlParameter[] sqlParameter = { new SqlParameter("@EmployeeID", textBox1.Text) };

            FillGridView(sql, dataGridView1, sqlParameter);

        }

        private void FillGridView(string sql, DataGridView dataGrid, SqlParameter[] sqlParameter = null)

        {

            using (SqlConnection conn = new SqlConnection(connStr))

            {

                using (SqlCommand sqlCommand = new SqlCommand(sql, conn))

                {

                    if (sqlParameter != null)

                    {

                        sqlCommand.Parameters.AddRange(sqlParameter);

                    }

                    using (SqlDataAdapter sqlDataAdapter = new SqlDataAdapter(sqlCommand))

                    {

                        DataTable dataTable = new DataTable();

                        sqlDataAdapter.Fill(dataTable);

                        dataGrid.DataSource = dataTable;

                    }

                }

            }

        }

    }

}

参数化查询防止Sql注入的更多相关文章

  1. 使用参数化查询防止SQL注入漏洞

    参数化查询防止SQL注入漏洞 看别人的登录注册sql语句有没漏洞即可 Where  name=‘admin’ or ‘1=1’ and password=’123’; 可以Or ‘1=1’就是漏洞 h ...

  2. 023. Asp.net参数化查询预防Sql注入攻击

    /// <summary> /// 参数化查询预防SQL注入式攻击 /// </summary> public int checkLogin(string loginName, ...

  3. 使用参数化查询防止SQL注入漏洞(转)

    SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询: string sql * FROM [User] WHERE UserName ...

  4. python mysql参数化查询防sql注入

    一.写法 cursor.execute('insert into user (name,password) value (?,?)',(name,password)) 或者 cursor.execut ...

  5. mybatis模糊查询防止SQL注入

    SQL注入,大家都不陌生,是一种常见的攻击方式.攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序.所以,在我们的应用 ...

  6. 安全 -- mysql参数化查询,防止Mysql注入

    参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) ...

  7. MySQL参数化有效防止SQL注入

    sql语句的参数化,可以有效防止sql注入 注意:此处不同于python的字符串格式化,全部使用%s占位 from pymysql import * def main(): find_name = i ...

  8. ADO.NET笔记——带参数的查询防止SQL注入攻击

    相关知识: 把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数” SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数 ...

  9. 带参数的查询防止SQL注入攻击

    把单引号替换成两个单引号,虽然能起到一定的防止SQL注入攻击的作用,但是更为有效的办法是把要拼接的内容做成“参数” SQLCommand支持带参数的查询,也就是说,可以在查询语句中指定参数: 参数的设 ...

随机推荐

  1. 关于Selenium remote模式分布式执行UI自动化测试必定面临的性能问题

    1.大部分自动化测试人员都是在本地执行UI自动化测试,也就是代码和浏览器必须在同一台机器上,这样的的缺陷很多,无法多任务并发执行UI自动化测试用例,效率极低 2.正是如此,Selenium 的remo ...

  2. 重新学习微信小程序

    基础学习: 传送门:http://www.jianshu.com/p/1cec15a81722 这个简书博客介绍的很详细,今天思思重新学习了一下. 一路到最后只遇到一个坑,还是自己不仔细.这里记录下: ...

  3. iOS-MMDrawerController第三方库的使用(转)

    链接:https://github.com/mutualmobile/MMDrawerController ,根据导航item+滚动条progressView实现的手势滑动切换视图的 MMDrawer ...

  4. dos下通过命令访问url网址

    psexec.exe工具: https://blog.csdn.net/feier7501/article/details/8841756 https://www.cnblogs.com/boltki ...

  5. JsonSchema用法

    JsonSchema用法 简介 JSON Schema是基于JSON格式,用于定义JSON数据结构以及校验JSON数据内容.JSON Schema官网地址:http://json-schema.org ...

  6. zookeeper 操作命令

    简介 查阅了网上相关资料,介绍zookeeper客户端命令并不是非常全面,大多数都是简单介绍ls.get.set.delete.stat这几个简单命令的,下面我把help中的所有命令简单介绍一下以供参 ...

  7. 1262: 谁不爱打牌(Java)

    WUSTOJ 1262: 谁不爱打牌 转自 断-肠-人的博客 Java代码在文末 Description BobLee最近在复习考研,但是他也喜欢打牌(有谁不爱玩牌呢?).但是作为一名ACMER,斗地 ...

  8. 串口(USART)通信-串口通讯协议简介

    物理层:规定通讯系统中具有机械.电子功能部分的特性,确保原始数据在物理媒体的传输.其实就是硬件部分. 协议层:协议层主要规定通讯逻辑,统一收发双方的数据打包.解包标准.其实就是软件部分. 简单来说物理 ...

  9. spring cloud微服务实践二

    在上一篇,我们已经搭建了spring cloud微服务中的注册中心.但只有一个注册中心还远远不够. 接下来我们就来尝试提供服务. 注:这一个系列的开发环境版本为 java1.8, spring boo ...

  10. T100——错误信息提示传入参数显示

    LET l_str1 = l_xccc.xccc901LET l_str2 = l_inat015LET l_str = l_str1.trim(),'|',l_str2.trim() CALL cl ...