parameters参数化SQL语句放注入

java1065141089 2013-05-07 09:41:57
public int AdminLogin(string AdminName, string AdminPwa)
{
string ConnectionString = ConfigurationManager.ConnectionStrings["DaDingDB"].ConnectionString;
SqlConnection conn = new SqlConnection(ConnectionString);
StringBuilder strSql = new StringBuilder();
strSql.Append("select va_AdminID from ");
strSql.Append(" AdminInformation ");
strSql.Append("where va_AdminAccount=@AdminName");
strSql.Append(" and ");
strSql.Append(" va_AdminPwa=@AdminPwa ");

SqlParameter[] parameters = {
new SqlParameter("@AdminName", SqlDbType.NVarChar,50),
new SqlParameter("@AdminPwa", SqlDbType.NVarChar,50)
};
parameters[0].Value = AdminName;
parameters[1].Value = AdminPwa;
conn.Open();
SqlCommand comm = new SqlCommand(strSql.ToString(), conn);

int rdr =Convert.ToInt32(comm.ExecuteScalar());
return rdr;
}

这样写还少啦什么吗?运行会报错
...全文
310 22 打赏 收藏 转发到动态 举报
写回复
用AI写文章
22 条回复
切换为时间正序
请发表友善的回复…
发表回复
Delta 2013-05-08
  • 打赏
  • 举报
 回复
路过,看看,看来有人已经解决了。。。。。
laowang134 2013-05-07
  • 打赏
  • 举报
 回复
SqlCommand comm = new SqlCommand(strSql.ToString(), conn); cmd.Parameters.Add(parameters); int rdr =Convert.ToInt32(comm.ExecuteScalar());
xuan.ye 2013-05-07
  • 打赏
  • 举报
 回复
引用 14 楼 java1065141089 的回复:
引用 12 楼 yeness 的回复:
还没等注入呢,代码就又开始重构了
什么意思?不懂
使用基于参数化的数据访问,为了防止sql注入,而业务又经常变,每次写的代码太多太累
Hi幸福来敲门 2013-05-07
  • 打赏
  • 举报
 回复
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 17 楼 ediyal 的回复:
说实话,你没用存储过程,就不要用@变量~~~~
为什么啊?看别人也是这样写的啊
tudiy 2013-05-07
  • 打赏
  • 举报
 回复
说实话,你没用存储过程,就不要用@变量~~~~
tudiy 2013-05-07
  • 打赏
  • 举报
 回复
引用 15 楼 ediyal 的回复:
 public int admin_login(string name, string pwd)
        {
            SqlParameter[] parameters = {
new SqlParameter("@Name", name),
new SqlParameter("@Pwa", pwd)
                                        };
            parameters[0].Value = name;
            parameters[1].Value = pwd;
            StringBuilder strSql = new StringBuilder();
            strSql.Append("select id from ");
            strSql.Append(" T_Agent ");
            strSql.Append("where username=");
            strSql.Append(parameters[0].Value);
            strSql.Append(" and ");
            strSql.Append(" password= ");
            strSql.Append(parameters[1].Value);
           
            conn.Open();
            SqlCommand com = new SqlCommand(strSql.ToString(), conn);
            int rdr = Convert.ToInt32(com.ExecuteScalar());
            return rdr;
        }
根据你的代码貌似只能这样改,try
对应的表名你改一下 。。。。忘记改了
tudiy 2013-05-07
  • 打赏
  • 举报
 回复 
 public int admin_login(string name, string pwd)
        {
            SqlParameter[] parameters = {
new SqlParameter("@Name", name),
new SqlParameter("@Pwa", pwd)
                                        };
            parameters[0].Value = name;
            parameters[1].Value = pwd;
            StringBuilder strSql = new StringBuilder();
            strSql.Append("select id from ");
            strSql.Append(" T_Agent ");
            strSql.Append("where username=");
            strSql.Append(parameters[0].Value);
            strSql.Append(" and ");
            strSql.Append(" password= ");
            strSql.Append(parameters[1].Value);
           
            conn.Open();
            SqlCommand com = new SqlCommand(strSql.ToString(), conn);
            int rdr = Convert.ToInt32(com.ExecuteScalar());
            return rdr;
        }
根据你的代码貌似只能这样改,try
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 12 楼 yeness 的回复:
还没等注入呢,代码就又开始重构了
什么意思?不懂
md5e 2013-05-07
  • 打赏
  • 举报
 回复
public bool ExecuteUpdate(string strSql,string[] strParams,object[] strValues) { try { this.conn.open(); SqlCommand cmd = new SqlCommand(); cmd.Connection = this.conn; if ((strParams != null) && (strParams.Length != strValues.Length)) throw new Exception("查询参数和值不对应!"); cmd.CommandText = strSql; cmd.CommandType = CommandType.Text; if (strParams != null) { for (int i = 0; i < strParams.Length; i++) { SqlParameter param = new SqlParameter(strParams[i], strValues[i]); cmd.Parameters.Add(param); } } return cmd.ExecuteNonQuery() > 0; } catch { return false; } finally { this.conn.Close(); } }
xuan.ye 2013-05-07
  • 打赏
  • 举报
 回复
还没等注入呢,代码就又开始重构了
xuan.ye 2013-05-07
  • 打赏
  • 举报
 回复
忘记什么注入吧,实现了就行
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 9 楼 liuchaolin 的回复:
[quote=引用 8 楼 java1065141089 的回复:] [quote=引用 5 楼 liuchaolin 的回复:] cmd.Connection=conn; comm.CommandText = strSql; comm.CommandType = CommandType.Text; comm.Parameters=parameters
最后那行不能用,有错,提示属性或索引是只读的 不能赋值[/quote] comm.Parameters.AddRange(parameters)[/quote]还是不行!可以写个简单的实列给我看下吗?
md5e 2013-05-07
  • 打赏
  • 举报
 回复
引用 8 楼 java1065141089 的回复:
[quote=引用 5 楼 liuchaolin 的回复:] cmd.Connection=conn; comm.CommandText = strSql; comm.CommandType = CommandType.Text; comm.Parameters=parameters
最后那行不能用,有错,提示属性或索引是只读的 不能赋值[/quote] comm.Parameters.AddRange(parameters)
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 5 楼 liuchaolin 的回复:
cmd.Connection=conn; comm.CommandText = strSql; comm.CommandType = CommandType.Text; comm.Parameters=parameters
最后那行不能用,有错,提示属性或索引是只读的 不能赋值
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 4 楼 ediyal 的回复:
什么错误提示?
必须声明标量变量@AdminName
java1065141089 2013-05-07
  • 打赏
  • 举报
 回复
引用 1 楼 nice_fish 的回复:
报什么错?
必须声明标量变量@AdminName
md5e 2013-05-07
  • 打赏
  • 举报
 回复
cmd.Connection=conn; comm.CommandText = strSql; comm.CommandType = CommandType.Text; comm.Parameters=parameters
tudiy 2013-05-07
  • 打赏
  • 举报
 回复
什么错误提示?
City_member 2013-05-07
  • 打赏
  • 举报
 回复
什么错误呢?
加载更多回复(2)
SSM入门到精通项目实战(附源码)
主要内容 掌握MyBatis的常用配置,MyBatis的Mapper映射文件的编写,包含select, update, insert和delete,MyBatis映射文件之parameters和@Param注解,MyBatis映射文件的resultMap的使用,MyBatis映射之association(一对一)配置与使用,MyBatis映射之collection(一对多)配置与使用,MyBatis映射之association与collection的复杂使用(一对一与一对多同时使用),MyBatis动态SQL之if,choose, when, otherwise,where,set,foreach,分页查询,主键回填,日志配置等技术;掌握SpringMVC的项目整合配置,@Controller,@RequestMapping,@Resource,@PathVariable,@ResponseBody,@ModelAttribute,@CookieValue,@Transactional等注解的使用,json数据传值,国际化,拦截器,权限控制,生成日志,文件上传下载,日期格式转换等。开发技术:java,jsp,mysql,MyBatis,jquery,ajax,json,springmvc运行环境:jdk1.7及以上版本,tomcat7.0及以上版本,mysql5.5及以上版本开发工具: 本项目开发工具是Eclipse,也支持myEclipse,Intellij Idea等其他版本开发工具适用人群: 零基础开始讲解MyBatis,SpringMVC,通过项目实战达到精通各种技术的能力,包括权限控制
mysql参数化sql语句_教您使用参数化SQL语句
SQL语句的使用非常灵活,通过各种SQL语句,可以实现不同功能的操作,下面将为您介绍参数化SQL语句,供您参考,希望对您有所帮助。SQL注入的方法有两种:一是所有的SQL语句都存在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程...
mysql sql语句参数化_参数化SQL语句
避免SQL注入的方法有两种:一是所有的SQL语句都存在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
C# 使用参数化SQL语句(防SQL注入攻击)
“SQL注入攻击”问题。我们在程序中存在着大量拼接产生SQL语句的代码,这就会导致一个比较大的安全隐患,容易遭受SQL注入攻击。我们在代码中用的SQL语句是: string sqlStr = &quot;select * from [Users] where UserName='&quot; + txtUserName.Text.Trim() + &quot;'and Password=...
参数化SQL语句,防止SQL注入漏洞攻击
防止SQL注入漏洞攻击的有两种方法: 1)第一种是所有的SQL语句都存在存储过程中,不但可以避免SQL注入,还能提高性能,并且存储过程可以有专门的数据库管理员(DBA)编写和集中管理;不过这种做法有时候针对相同的几个表有不同的查询条件,SQl语句可能不同,这样就会编写大量的存储过程。于是就有了第二种查询方法, 2)参数化查询SQL语句 举例如下: //实例化Connection对
.NET社区

62,046

社区成员

669,048

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章