SQL防止注入谢谢高手解答下

jlcs2002 2011-08-25 11:12:31 


DbCommandData cmdtab1 = new DbCommandData("if exists(select object_id from sys.tables where name=@tableName) delete from "+@tableName+" where (mobile is null or mobile = '')");

                    cmdtab1.AddParameter("@tableName",tableName);

                    DbAccessHelper.ExecuteNonQuery(cmdtab1);

tableName是表明 这样会被注入么 怎么处理啊
...全文
121 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
luoye0124 2011-09-01
  • 打赏
  • 举报
 回复
顶下·· 每
LiJiangBo19860402 2011-08-27
  • 打赏
  • 举报
 回复
帮忙顶起
zzhqiao 2011-08-25
  • 打赏
  • 举报
 回复
[Quote=引用楼主 jlcs2002 的回复:]
C# code


DbCommandData cmdtab1 = new DbCommandData("if exists(select object_id from sys.tables where name=@tableName) delete from "+@tableName+" where (mobile is null or mobile = '')");
……
[/Quote]
这里的tableName不是就是个参数么
langxingcs 2011-08-25
  • 打赏
  • 举报
 回复
帮顶。。。
快溜 2011-08-25
  • 打赏
  • 举报
 回复
参数方式可以防止。
sqlserver2000基础(高手也有用)
第 2 章 日期处理 23 2.1 日期类型概述 23 2.2 日期处理函数 25 2.2.1 日期增减函数 25 2.2.2 日期信息获取函数 26 2.2.3 日期差值计算函数 27 2.2.4 其他日期处理相关函数 27 2.3 日期选项设置 29 2.3.1 default language选项 30 2.3.2 SET DATEFIRST 31 2.3.3 SET DATEFORMAT 31 2.3.4 SET LANGUAGE 33 2.4 日期格式化与日期推算处理 34 2.4.1 日期格式化处理 34 2.4.2 日期推算处理 35 2.4.3 日期加减处理 38 2.5 日期处理实例 40 2.5.1 生日处理 40 2.5.2 生成日期列表 42 2.5.3 工作日处理 46 2.5.4 工作时间计算 49 2.6 日期处理疑难解答 51 2.6.1 日期处理中常犯的错误 51 2.6.2 常见的低效率日期处理方法 52 2.6.3 日期与数字 53 第 3 章 字符处理 55 3.1 字符类型概述 55 3.2 字符串分拆 56 3.2.1 循环截取法 57 3.2.2 动态Transact-SQL语句法 57 3.2.3 辅助表法 59 3.2.4 分拆数据到列 61 3.2.5 分拆数字数据 62 3.2.6 分拆短信数据 63 3.3 字符串合并 64 3.3.1 游标合并法 65 3.3.2 SELECT语句合并法 66 3.3.3 临时表合并法 68 3.3.4 固定行合并法 69 3.4 其他字符串处理要求 70 3.4.1 分段截取 70 3.4.2 分段更新 72 3.4.3 IP地址处理 72 3.5 字符串分拆与合并处理应用实例 74 3.5.1 字符串比较 74 3.5.2 字符串交集/并集 75 3.5.3 分拆字符串并统计 78 3.5.4 借用字符串实现无规律排序 82 3.5.5 列车车次查询 82 3.6 字符串在动态Transact-SQL语句中的应用 85 3.6.1 动态Transact-SQL语句概述 85 3.6.2 字符串在编号查询中的使用 87 3.6.3 动态参数存储过程 90 3.6.4 动态Transact-SQL语句中常见问题 92 3.7 text与ntext字段处理 96 3.7.1 text与ntext数据的存储 96 3.7.2 管理text与ntext数据 97 3.7.3 text与ntext字段的复制和合并 99 3.7.4 text与image字段转换 101 3.7.5 ntext字段的REPLACE处理 103 第 4 章 排序规则 107 4.1 字符存储编码与排序规则 107 4.1.1 字符数据的存储编码 107 4.1.2 UNICODE 108 4.1.3 排序规则 109 4.1.4 排序规则比较和排列规则 111 4.1.5 使用排序规则 112 4.1.6 如何选择字符字段类型 116 4.2 排序规则应用 117 4.2.1 拼音处理 117 4.2.2 全角与半角字符处理 120 第 5 章 编号处理 123 5.1 自动编号 123 5.1.1 IDENTITY 123 5.1.2 ROWGUIDCOL 129 5.2 手工编号 131 5.2.1 查表法 131 5.2.2 独立编号表法 135 5.2.3 随机编号 139 5.3 缺号与补号 143 5.3.1 检查缺号 143 5.3.2 补号处理 143 5.3.3 编号重排 146 5.4 编号查询 150 5.4.1 已用编号分布查询 150 5.4.2 缺号分布查询 151 5.4.3 生成已用编号和缺号分布字符串 152 5.4.4 缺勤天数统计 155 第 6 章 数据统计与汇总 159 6.1 基本查询 159 6.1.1 空(NULL)值对查询的影响 159 6.1.2 联接 161 6.1.3 UNION与UNION ALL 165 6.1.4 数据填充查询 167 6.1.5 上限与下限区间统计 169 6.1.6 随机记录查询 170 6.2 分级汇总 173 6.2.1 实现分级汇总处理 173 6.2.2 分级汇总结果的过滤 176 6.2.3 分级汇总结果显示格式处理 177 6.2.4 分级汇总结果的排序处理 179 6.3 交叉数据报表 181 6.3.1 实现原理 181 6.3.2 多列转置 184 6.3.3 动态列 185 6.3.4 动态列中的字符溢出处理 188 6.3.5 特殊的交叉报表 191 6.4 典型数据统计案例 193 6.4.1 库存明细账查询 193 6.4.2 同期及上期数据对比 197 6.4.3 动态分组统计 199 6.4.4 销售排行榜 200 第 7 章 分页处理 205 7.1 应用程序中的分页处理 205 7.2 数据库中的分页处理 207 7.2.1 使用TOP N实现分页 207 7.2.2 使用字符串 211 7.2.3 使用临时表 213 7.2.4 使用SQL Server的系统存储过程处理分页 216 7.3 特殊要求的分页处理 217 7.3.1 随机显示的分页处理 217 7.3.2 分类数据的分页处理 221 第 8 章 树形数据处理 223 8.1 单编号处理法 223 8.1.1 方法概述 223 8.1.2 逐级汇总 225 8.1.3 编码重排 226 8.1.4 调整编码规则 229 8.1.5 调整编码隶属关系 233 8.2 双编号处理法 238 8.2.1 方法概述 239 8.2.2 树形数据排序 240 8.2.3 查找子节点 244 8.2.4 查找父节点 245 8.2.5 编码校验 246 8.2.6 节点复制 249 8.2.7 节点删除 251 8.2.8 逐级汇总 253 8.3 树形数据的扩展形式 256 8.3.1 产品配件清单 256 8.3.2 公交车乘车线路查询 258 第 9 章 数据导入与导出 261 9.1 访问外部数据 261 9.1.1 链接服务器 261 9.1.2 OPENROWSET与OPENDATASOURCE 268 9.1.3 外部数据访问方法总结 270 9.2 文本文件的导入与导出 274 9.2.1 查询文本文件内容 274 9.2.2 BCP与BULK INSERT 277 9.3 导入与导出中的常见问题 285 9.3.1 访问外部数据的注意事项 285 9.3.2 使用BCP或者BULK INSERT时的注意事项 286 9.3.3 外部数据文件位置及文件访问权限问题 287 9.4 在客户端实现SQL Server数据导入与导出处理 288 9.4.1 在Access数据库中实现与SQL Server之间的数据交换 288 9.4.2 实现客户端其他OLE DB数据源与SQL Server之间的数据交换 289 9.4.3 在客户端实现SQL Server数据导入与导出处理的一些说明 289 9.5 在数据库中存取文件 290 9.5.1 SQL Server中的文件存取方法 290 9.5.2 程序中的文件存取处理方法 292 第 10 章 作业 295 10.1 作业概述 295 10.1.1 定义作业 295 10.1.2 使用系统存储过程定义作业的常用模板 300 10.2 作业的应用 303 10.2.1 定时启用(或者停用)数据库 303 10.2.2 执行耗时的存储过程 304 10.2.3 秒级作业 305 10.3 使用作业的疑难解答 309 第 11 章 数据备份与还原 315 11.1 数据库备份与还原方法介绍 315 11.1.1 完全备份与还原 315 11.1.2 差异备份与还原 317 11.1.3 日志备份与还原 319 11.1.4 数据文件或文件组备份与还原 320 11.1.5 备份设备 321 11.1.6 数据库恢复模型对数据库备份和还原的影响 322 11.2 制订数据库备份方案 326 11.2.1 备份方案制订原则 326 11.2.2 建立数据备份方案 327 11.3 数据库备份与还原的实践应用 332 11.3.1 系统数据库的备份与还原 332 11.3.2 数据库迁移 336 11.3.3 部分数据库还原 339 11.3.4 抢救损坏数据库中的数据 341 11.3.5 将数据还原到指定时间点 343 11.3.6 将数据还原到指定标记点 345 11.3.7 同步备用服务器 346 11.4 数据备份与还原疑难解答 349 11.4.1 数据备份与还原中的常见问题 349 11.4.2 使用媒体集备份时的常见问题 354 11.4.3 数据库还原中的孤立用户问题 356 11.4.4 查询备份文件中的信息 360 第 12 章 用户定义数据类型 361 12.1 用户定义数据类型概述 361 12.1.1 创建和删除用户定义数据类型 361 12.1.2 为用户定义的数据类型绑定规则 365 12.1.3 为用户定义的数据类型绑定默认值 370 12.2 修改用户定义数据类型 373 12.2.1 修改被表引用的用户定义数据类型 373 12.2.2 修改被存储过程引用的用户定义数据类型 379 第 13 章 数据库安全 383 13.1 SQL Server的存取构架 383 13.1.1 表格格式数据流(TDS) 383 13.1.2 Net-Library与网络协议 384 13.1.3 Net-Library加密 387 13.2 用户管理 388 13.2.1 身份验证模式 388 13.2.2 登录、用户、角色和组 390 13.2.3 管理用户 395 13.3 数据文件安全 403 13.4 SQL Server安全配置 405 13.4.1 安全配置建议 405 13.4.2 使用安全套接字层(SSL)加密 408 13.5 应用程序上的安全 417 13.5.1 防止SQL注入式攻击 417 13.5.2 限制应用程序访问 418 13.5.3 不安全的扩展存储过程 419 第 14 章 系统表应用实例 423 14.1 系统对象概述 423 14.1.1 每个数据库中都存在的系统表 424 14.1.2 仅在系统数据库中存在的系统表 424 14.1.3 系统表应用中三个重要的系统存储过程 426 14.2 系统表在对象信息检索中的应用 429 14.2.1 搜索指定的对象所处的数据库 429 14.2.2 获取存储过程参数定义 432 14.2.3 搜索指定字符在哪个表的哪个字段中 435 14.2.4 非UNICODE字段改为UNICODE字段的可行性查询 438 14.2.5 字段相关对象查询 439 14.2.6 生成数据库字典 443 14.3 系统对象在处理中的应用 444 14.3.1 批量处理数据库中的对象 444 14.3.2 将所有的char、varchar改为nchar、nvarchar 445 14.3.3 标识列与普通列的相互转换 447 14.3.4 把列添加指定位置 450 14.3.5 在两个SQL Server数据库之间复制对象 451 第 15 章 SQL Server应用疑难解答 455 15.1 访问SQL Server实例的常见问题 455 15.1.1 连接失败 455 15.1.2 用户登录失败 458 15.1.3 测试连接到SQL Server实例的方法总结 458 15.1.4 超时 459 15.1.5 单用户的问题 460 15.1.6 默认数据库问题 461 15.2 索引中的疑难解答 462 15.2.1 索引对查询条件的影响 462 15.2.2 索引对查询结果顺序的影响 465 15.2.3 索引对数据操作的影响 469 15.3 数据库日志疑难解答 470 15.3.1 影响日志文件增长的因素 471 15.3.2 从事务日志中删除日志记录 472 15.3.3 日志文件处理中的误区 472 15.3.4 合理解决日志文件增长 473 15.4 错误处理疑难解答 474 15.4.1 错误处理概述 474 15.4.2 错误处理严重程度 475 15.4.3 使用@@ERROR的疑难解答 476 15.4.4 XACT_ABORT与RAISERROR的疑难解答 477 15.5 游标处理疑难解答 479 15.5.1 全局游标与本地游标 479 15.5.2 检查指定的游标是否存在 480 15.5.3 事务提交或者回滚对游标的影响 482 15.5.4 可更新的游标 483 15.6 SQL Server处理中的其他疑难解答 484 15.6.1 并发工作负荷调控器 484 15.6.2 存储过程中的疑难解答 486 15.6.3 标识值疑难解答 488 15.6.4 全文检索疑难解答 491 15.6.5 发布与订阅中的常见问题 494 15.6.6 其他疑难解答 496
《暗战强人-黑客及反黑客工具快速精通》武新华[.PDF]
中文名: 暗战强人-黑客及反黑客工具快速精通 作者: 武新华 资源格式: PDF 版本: 扫描版 出版社: 电子工业出版社 发行时间: 2009年09月01日 内容介绍: 《暗战强人:黑客及反黑客工具快速精通》紧紧围绕黑客防范技巧与工具展开,在剖析用户进行黑客防御中迫切需要用到或想要用到的技术时,力求对其进行“傻瓜”式的讲解,使读者对网络防御技术形成系统了解,能够更好地防范黑客的攻击。全书共分为14章,包括:黑客文化漫谈、黑客入侵前的准备、嗅探与扫描技术、欺骗与攻击技术、拒绝服务攻击技术、Web攻击技术、常见软件安全攻防、日志与后门清除技术、网络安全防御、病毒技术及其防御、木马入侵与清除技术、防火墙与入侵检测技术、全面提升自己的网络功能、远程控制攻防技术等内容。随书所附的DVD光盘提供了多种攻防实战的教学视频,汇集了众多黑客高手的操作精华。 《暗战强人:黑客及反黑客工具快速精通》内容丰富、图文并茂、深入浅出,不仅适用于广大网络爱好者,而且适用于网络安全从业人员及网络管理员。 目录: 第1章 测试环境搭建和黑客实用小工具 1.1 搭建测试环境 1.1.1 什么是虚拟机 1.1.2 VMware的安装 1.1.3 常见的虚拟硬件设备 1.1.4 配置VMware并安装操作系统 1.1.5 VMwareTools的安装 1.2 黑客必备小工具 1.2.1 黑客界的瑞士军刀NC 1.2.2 Socks5代理工具Htran 1.2.3 端口转发工具Lcx 1.2.4 综合小工具MT 1.2.5 破解Windows系统管理员口令 1.3 专家点拨:常见问题与解答 1.4 总结与经验积累 第2章 扫描工具 2.1 端口扫描器 2.1.1 端口扫描器的原理 2.1.2 端口扫描器的作用 2.1.3 端口扫描器的分类 2.1.4 常见的端口扫描工具 2.2 端口扫描器的使用指南 2.2.1 X-Scan扫描器 2.2.2 SuperScan扫描器 2.2.3 S扫描器 2.2.4 Nmap扫描器 2.3 Web扫描器的使用指南 2.3.1 N-StealthVulnerabilityScanning扫描器 2.3.2 AcunetixWebVulnerabilityScanner扫描器 2.4 漏洞扫描器的使用指南 2.4.1 SSS扫描器 2.4.2 CGI扫描器 2.4.3 S-GUIVer扫描器 2.5 专家点拨:常见问题与解答 2.6 总结与经验积累 第3章 嗅探工具 3.1 Sniffer基础知识 3.2 X-Spoof工具 3.2.1 X-Spoof工具使用说明 3.2.2 使用X-Spoof工具获取密码 3.3 Dsniff工具 3.3.1 Dsniff概述 3.3.2 Dsniff功能介绍 3.4 WinArpAttacker工具 3.5 Cain工具 3.5.1 Cain的功能简介 3.5.2 使用Cain获取论坛登录密码 3.6 艾菲网页侦探 3.7 专家点拨:常见问题与解答 3.8 总结与经验积累 第4章 注入工具 4.1 啊D注入工具 4.1.1 啊D注入工具的功能介绍 4.1.2 使用啊D实现注入 4.2 NBSI注入工具 4.2.1 NBSI的功能概述 4.2.2 使用NBSI实现注入 4.3 Domain注入工具 4.3.1 Domain的功能简介 4.3.2 使用Domain实现注入 4.3.3 使用Domain扫描管理后台 4.3.4 使用Domain上传WebShell 4.4 WIS注入工具 4.4.1 使用WIS注入工具寻找注入点 4.4.2 使用SQL注入破解管理员账号 4.4.3 使用WIS注入工具登录管理远界面 4.5 专家点拨:常见问题与解答 4.6 总结与经验积累 第5章 全面提升网络权限 第6章 Windows列举工具 第7章 密码破解技术 第8章 QQ聊天工具 第9章 远程控制工具 第10章 局域网黑客工具 第11章 暴力攻击与恶意绑架工具 第12章 网络代理与黑客追踪工具 第13章 清理入侵痕迹 第14章 系统防御工具 ……
JAVA代码审计之SQL注入
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
SQL注入检测,必备什么条件,求内网渗透测试工具与相关知识,求高手解答.谢谢
SQL注入检测,必备什么条件,求内网渗透测试工具与相关知识,求高手解答.谢谢 熟练掌握各种内网渗透测试工具与相关知识,精通常见安全攻防技术:sql注入、xss、文件上传、文件包含、命令执行等漏洞 熟悉linux、unix、Windows、oracle、J2EE等各种环境下WEB的安全配置与安全检查及WEB漏洞防范; 熟悉各种脚本语言(asp,php,jsp,java,net、perl、py
SQL注入天书 - ASP注入漏洞全接触
SQL注入天书 - ASP注入漏洞全接触 作者:NB联盟-小竹 (QQ:48814)引  言随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想
应用实例

27,580

社区成员

68,556

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server 应用实例
社区管理员
  • 应用实例社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章