登录

|

注册

论坛首页 › 隐藏归类 › 黑马那些年 › 第3届ASP.Net+Unity3D技术交流区 › 正文

黑马币：-3
帖子：117
精华：0

sql注入

© duanhuilin 中级黑马 / 2012-10-26 15:42 / 1947 人查看 / 1 人回复 / 0 人收藏转载请遵从CC协议禁止商业使用本文

如何解决或者避免sql注入带来的风险。。。

评分

参与人数 1	技术分 +1	收起理由
宋天琪	+ 1

查看全部评分

收藏 淘帖0 0 踩0

回复只看该作者

1 个回复

倒序浏览

黑马王亚男 中级黑马 2012-10-26 18:12:42

| 只看该作者

沙发

using (SqlConnection conn = new SqlConnection(connectionString))
{
conn.Open();
SqlCommand comm = new SqlCommand();
comm.Connection = conn;
comm.CommandText = "select * from Users where UserName=@UserName";
//传值 username，不指定参数长度
//查询计划为(@UserName varchar(8))select * from Users where UserName=@UserName
comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar) { Value = "username" });
comm.ExecuteNonQuery();
}

复制代码

用参数化查询的方法，如：

1.过滤SQL需要的参数中的敏感字符（注意加入忽略大小写）
2.禁用数据库服务器的xp_cmdshell存储过程，删除相应用到的dll
3.屏蔽服务器异常信息

评分

参与人数 1	技术分 +1	收起理由
宋天琪	+ 1

查看全部评分

回复 使用道具举报 