C#和SQl 注入字符串的攻击 和 防止注入字符转的攻击
--SQl中
--建立ren的数据库,插入一条信息
create database ren
go
use ren
go
create table xinxi
(
code nvarchar(20) primary key,--编号
name nvarchar(50)--名字
)
insert into xinxi values('','zhangsan')
for (; ; )
{ bool b = false;//利用中间变量
Console.Write("请输入要修改的编号:");
string no = Console.ReadLine();
//查询展示
SqlConnection zhancnn = new SqlConnection("server=.;database=ren;user=sa;pwd=123");//连接
//操作的语句
SqlCommand zhancmd = zhancnn.CreateCommand();
zhancmd.CommandText = "select * from xinxi where code='" + no + "'";
//执行操作的语句
zhancnn.Open();
SqlDataReader ss = zhancmd.ExecuteReader();
if (ss.HasRows)//数据库中是否有要修改的数据
{
b = true;
}
zhancnn.Close();
if (b == true)//如果有要修改的数据
{ Console.Write("找到【" + no + "】的信息,请输入要修改的名字:");
string mingzi = Console.ReadLine();
zhancmd.CommandText = "update xinxi set name='"+mingzi+"' where code='"+no+"'";
zhancnn.Open();
zhancmd.ExecuteNonQuery();
zhancnn.Close();
Console.WriteLine("修改完毕!");
break;
}
else//如果没有要修改的数据
{
Console.WriteLine("数据库中没有该条信息,请输入正确的编码!!");
} }
Console.ReadLine();
执行时,,注意,我就要输入了:
然后查询数据库,查询全部,就成为了
为了防止这种注入文字攻击,我们就需要:
//C#中 for (; ; )
{ bool b = false;//利用中间变量
Console.Write("请输入要修改的编号:");
string no = Console.ReadLine();
//查询展示
SqlConnection zhancnn = new SqlConnection("server=.;database=ren;user=sa;pwd=123");//连接
//操作的语句
SqlCommand zhancmd = zhancnn.CreateCommand();
zhancmd.CommandText = "select * from xinxi where code='" + no + "'";
//执行操作的语句
zhancnn.Open();
SqlDataReader ss = zhancmd.ExecuteReader();
if (ss.HasRows)//数据库中是否有要修改的数据
{
b = true;
}
zhancnn.Close();
if (b == true)//如果有要修改的数据
{ Console.Write("找到【" + no + "】的信息,请输入要修改的名字:");
string mingzi = Console.ReadLine();
zhancmd.CommandText = "update xinxi set name=@mingzi where code=@no;";//@变量名:占位符。注意:name=@mingzi没有引号
zhancmd.Parameters.Clear();//必须先清空里面所有内容
zhancmd.Parameters.Add("@mingzi",mingzi);//类似哈希表。第一个值随便取,必须跟上边一致;第二个是变量
zhancmd.Parameters.Add("@no",no);
zhancnn.Open();
zhancmd.ExecuteNonQuery();
zhancnn.Close();
Console.WriteLine("修改完毕!");
break;
}
else//如果没有要修改的数据
{
Console.WriteLine("数据库中没有该条信息,请输入正确的编码!!");
} }
Console.ReadLine();
//如果在执行窗口输入上跟上次一样的内容,那么输出的结果就是把”那句注入的代码“和”要改的name“ 作为一整个字符串进行处理。
C#和SQl 注入字符串的攻击 和 防止注入字符转的攻击的更多相关文章
- 网络安全学习阶段性总结:SQL注入|SSRF攻击|OS命令注入|身份验证漏洞|事物逻辑漏洞|目录遍历漏洞
目录 SQL注入 什么是SQL注入? 掌握SQL注入之前需要了解的知识点 SQL注入情况流程分析 有完整的回显报错(最简单的情况)--检索数据: 在HTTP报文中利用注释---危险操作 检索隐藏数据: ...
- WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等
核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...
- SQL注入测试平台 SQLol -2.SELECT注入测试
前面,我们已经安装好了SQLol,打开http://localhost/sql/,首先跳转到http://localhost/sql/select.php,我们先从select模块进行测试. 一条完成 ...
- 【sql注入】简单实现二次注入
[sql注入]简单实现二次注入 本文转自:i春秋社区 测试代码1:内容详情页面 [PHP] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 1 ...
- Sql 注入详解:宽字节注入+二次注入
sql注入漏洞 原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了. 攻击方式: (1) 权限较大时,直接写入webshel ...
- C# 过滤sql特殊字符串方法
1. /// <summary> /// 过滤不安全的字符串 /// </summary> /// <param name="Str" ...
- [转]SQL Server字符串处理函数大全
select语句中只能使用sql函数对字段进行操作(链接sql server), select 字段1 from 表1 where 字段1.IndexOf("云")=1;这条语句不 ...
- MSSQL Server数据库的四种连接方法和sql连接字符串
MSSQL Server数据库的四种连接方法和sql连接字符串 分类: [ 03 ] C#(131) [ 07 ] SQL Server(68) [ 01 ] .NET(189) 今天用SQL Ser ...
- sql sever 字符串函数
SQL Server之字符串函数 以下所有例子均Studnet表为例: 计算字符串长度len()用来计算字符串的长度 select sname ,len(sname) from student ...
- SQL判断字符串里不包含字母
Oracle: 方法一:通过To_Number 函数异常来判断,因为这个函数在转换不成功的时候是报错,所以只能用存储过程包装起来. CREATE OR REPLACE FUNCTION Is_Numb ...
随机推荐
- java项目中可能会使用到的jar包解释
一.Struts2 用的版本是struts2.3.1.1 一个简单的Struts项目所需的jar包有如下8个 1. struts2-core-2.3.1.1.jar: Struts2的核心类库. 2. ...
- paper 19 :机器学习算法(简介)
本来看了一天的分类器方面的代码,乱乱的,索性再把最基础的概念拿过来,现总结一下机器学习的算法吧! 1.机器学习算法简述 按照不同的分类标准,可以把机器学习的算法做不同的分类. 1.1 从机器学习问题角 ...
- ajax讲解:“创建用户”和“用户登录”练习
ajax可以在不重新加载整个网页的情况下,对网页的某部分进行更新. 传统的网页(不使用 AJAX)如果需要更新内容,必须重载整个网页页面. 接下来,将以例子的形式进行讲解 例一:创建用户 ...
- 解决windows的控制台显示utf8乱码的问题
在控制台的属性里 修改自体为: 新宋体 在控制台下执行命令: chcp 65001
- 【py网页】sitecopy代码
001 #coding:utf-8 002 import re,os,shutil,sys 003 import urllib2,socket,cookielib 004 from threading ...
- jsp struts标签迭代各种数据
首先创建一个User对象 User user=new User(); user.setUserName("张三"); user.setAge(30); User user1=new ...
- 终于有SpringMvc与Struts2的对比啦(转)
本文转自:http://www.itsource.cn/web/news/5/20150318/370.html 目前企业中使用SpringMvc的比例已经远远超过Struts2,那么两者到底有什么区 ...
- Binary Tree Level Order Traversal II
/** * Definition for a binary tree node. * struct TreeNode { * int val; * TreeNode *left; * TreeNode ...
- [转]centos中wget的使用方法
本文转自 http://www.cnblogs.com/chusiping/archive/2011/11/10/2243805.html 和 http://www.jb51.net/os/RedHa ...
- Windows 7 驱动开发
本文是对Win7(64)+VS2010+WDK7.1.0(WinDDK\7600.16385.1)开发驱动的小结. 一.系统工具 1.Win7(amd64位)系统 注:已装系统后,管理员身份运行cmd ...