asp.net C#怎么防止SQL注入.....

dys_198102 2009-01-05 10:58:08

asp.net C#程序,
如果用ACCESS怎么防止SQL注入,
SQLSERVER又怎么防止SQL注入?????
高手指点

...全文

4001 51 打赏收藏转发到动态举报

写回复

用AI写文章

51 条回复

切换为时间正序

请发表友善的回复…

发表回复

sy_flydream 2012-03-30

打赏
举报

也要防止，你虽然是select操作，因为客户端可以输入内容，给你传参数的时候可以传update、delete语句

ttyrone 2011-10-13

打赏
举报

目前在做登录页，数据库只有select操作，没有update和delete，也需要防止sql注入吗？

hsqtl 2011-10-11

打赏
举报

sdfs

kris_yao 2010-08-11

打赏
举报

好贴！

jingpinchen 2010-07-19

打赏
举报

顶一下了

iishou8 2009-10-16

打赏
举报

mark

SHAOXING1988 2009-10-12

打赏
举报

学学啊！那是使用存储过程还是sql语句好

PSSonyXbox 2009-09-09

打赏
举报

收帖子收藏一下呀

oflying907 2009-09-09

打赏
举报

mark

a285319737 2009-07-08

打赏
举报

都给点例子看下哈！

静_心 2009-03-30

打赏
举报

reborter 2009-03-30

打赏
举报

呵呵,学习

nighce 2009-03-30

打赏
举报

青梦奇缘 2009-03-30

打赏
举报

public bool Deposits(string accountCode,int type,decimal amount)
{
try
{
SqlParameter Parameter1 = new SqlParameter("@accountCode", SqlDbType.NVarChar, 10);
Parameter1.Value = accountCode;
SqlParameter Parameter2 = new SqlParameter("@type", SqlDbType.Int);
Parameter2.Value = type;
SqlParameter Parameter3 = new SqlParameter("@amount", SqlDbType.Decimal);
Parameter3.Value = amount;
List<SqlParameter> Parameters = new List<SqlParameter>();
Parameters.Add(Parameter1);
Parameters.Add(Parameter2);
Parameters.Add(Parameter3);
string sql = "exec myAccount @accountCode ,@type,@amount";
ArrayList SqlStrings = new ArrayList();
SqlStrings.Add(sql);
return acct.ExecuteSQL(SqlStrings, Parameters.ToArray<SqlParameter>());
}
catch
{
return false;
}
}
//其中SqlParameter对象可以把类型参数在执行数据库语句的时候序列化！

皓月明 2009-03-30

打赏
举报

进行多重数据过滤，进行数据类型判断

M_arlboro 2009-03-30

打赏
举报

过滤输入字符串.
不要拼字符串参数给他"@"就行啦
就搞定了.

benbirdar 2009-03-30

打赏
举报

用参数化parameter形式传递参数

凤凰涅檠 2009-03-30

打赏
举报

分享自己的：

public static DataTable FillDataTable(string cmdtxt, SqlParameter[] parameters)
{
DataTable dt = new DataTable();
using (SqlConnection connection = GetConnection())
{
SqlCommand command = new SqlCommand(cmdtxt, connection);
foreach (SqlParameter p in parameters)
{
command.Parameters.Add(p);
}
SqlDataAdapter adapter = new SqlDataAdapter(command);
connection.Open();
adapter.Fill(dt);
connection.Close();
}
return dt;
}

liuping234232783 2009-03-30

打赏
举报

vs2005+sql 200防止SQL注入我所知道的有2中方法;
1.用SQL存储过程
2.SQL参数化.
帖出我自己防止SQL注入的方法代码:
string sqlu = "update useradmin set u_pass=@pass where u_clerkno='" + Session["username"] + "'";

SqlCommand cmda = new SqlCommand(sqlu, scn);

cmda.Parameters.Add(new SqlParameter("@Pass", SqlDbType.NVarChar, 20));

cmda.Parameters["@pass"].Value = TextBox3.Text.Trim().ToString();

cmda.ExecuteNonQuery();

Response.Redirect("main.aspx");
把SQL语句改下就可以了!!道理是一样的 !

山茶树和葡萄树 2009-03-28

打赏
举报

[Quote=引用 6 楼 amanizty 的回复:]
引用 5 楼 lovexiaoxiao 的回复:
引用 1 楼 glt3260053 的回复:
都差不多，做到以下几点就安全多了
1.查看和修改等的权限分离
2.过滤所有用户输入
3.把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令
4.用存储过程来执行所有的查询
5.完善用户输入的的长度和类型等验证
6.检查用户输入的合法性
7.将用户登录名称、密码等数据加密保存

up

up~
[/Quote]
UP

加载更多回复（30）

学习代码 ASP.Net C# SQL注入 跨脚步漏洞案例

C# MVC 过滤器防止SQL注入

ASP.NET动态网站开发实战-零基础抄近路驾驭Web Pages开发“0基础”项目实战+“抄近路”速成----授人以鱼，不如授人以渔本课程我会带领大家伙儿，手把手学习ASP.NET动态网站开发技术。本课程开发模式：Web Pages（Web 页面）课程大致完成内容：1、ASP.NET是一个使用 HTML、CSS、JavaScript和服务器脚本创建网页和网站的开发框架。2、ASP.NET支持三种不同的开发模式： Web Pages（Web 页面）MVC（Model View Controller 模型-视图-控制器）Web Forms（Web 窗体）3、IIS服务器：IIS(Internet Information Services)是微软的Internet服务器IIS是Windows Server操作系统免费捆绑的组件IIS是ASP.NET的Web应用程序运行的服务器。课程目的：C#语言、母版页运用、ASP.NET动态网站开发、SQL server数据库、增删改查等知识入门。

常用的asp.net的SQL防注入过滤函数大集合，实用性很高！执行效率不错！

ASP.NET防止SQL注入函数,C harp代码