A. c# 傳參的方式能完全防止sql注入嗎
結論:如果不能夠重用執行計劃,那麼就有SQL注入的風險,因為SQL的語意有可能會變化,所表達的查詢就可能變化。
首先,什麼是注入漏洞攻擊呢?所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。通常的解決方案有過濾敏感字元,比如說過濾掉or, and , select sql等關鍵字,通過參數化查詢解決sql注入漏洞的實例。
所謂的參數化查詢(Parameterized Query 或 Parameterized Statement)是指在設計與資料庫鏈接並訪問數據時,在需要填入數值或數據的地方,使用參數 (Parameter) 來給值,這個方法目前已被視為最有效可預防SQL注入攻擊 (SQL Injection) 的攻擊手法的防禦方式。Microsoft SQL Server 的參數格式是以 "@" 字元加上參數名稱而成.
SQL 引擎的處理流程,大致為:收到指令 -> 編譯SQL生成執行計劃 ->選擇執行計劃 ->執行執行計劃。
參數化查詢主要做了這些事情:
1:參數過濾,對傳入值進行了處理,按字元語義來處理。
2:執行計劃重用
為參數化查詢可以重用執行計劃,並且如果重用執行計劃的話,SQL所要表達的語義就不會變化,所以就可以防止SQL注入,如果不能重用執行計劃,就有可能出現SQL注入,存儲過程也是一樣的道理,因為可以重用執行計劃。
B. C#防止sql注入問題
採用了參數法給sql傳遞參數
SQL注入的原理你要先了解,因為以前SQL語句是用字元串拼接來組的.所以就有人想到如果我輸入一個單引號來閉合原本程序里的單引號 然後在自己加些條件呢.
加入原本代碼
String SQLStr = "select * from t_users where username='"+ txtusername.Text +"'";
如果你輸入'or 1=1 -- 我們的SQLStr會變成什麼呢
select * from t_users where username = '' or 1=1 --'
--後面屬於sql的注釋 所以都忽略了 即使後面有其他條件也忽略了
所以這條SQL執行總是有返回結果,至於其他的高級的試探性語句你可以搜索其他資料
====================================================================
採用參數法添加數據的話 就不會出現這樣的問題.
程序會把'or 1=1 -- 當成一個整體的字元串 然後在兩頭加單引號 變成這樣'\' or 1=1 --' 由於\屬於轉義字元 所以不會閉合前面的單引號
所以這樣就防止了注入
//望採納
C. C# winform 防止sql注入
唯一的解決辦法是字元串過慮, 就算你寫了存儲過程,其內部原理他基本上是字元串的合並。根本無法從根本上解決SQL注入
唯一行之有效的辦就只有一個 那就是 檢查字元串里是否有單引號 如果有 把 字元串里的 單引號 全去掉. 如果 值類開 就是檢查 or SQL 注入的精髓就是合理使用 單引號和 or 改變 sql 語意 只要你把 字元串中的 這兩個東西 幹掉就安全了 不過 字元過濾很費時間 尤其是 論壇一類的 需要提交文章的系統
D. 請問各位C#高手,該怎麼防止SQL注入
採用了參數法給sql傳遞參數
sql注入的原理你要先了解,因為以前sql語句是用字元串拼接來組的.所以就有人想到如果我輸入一個單引號來閉合原本程序里的單引號
然後在自己加些條件呢.
加入原本代碼
string
sqlstr
=
"select
*
from
t_users
where
username='"+
txtusername.text
+"'";
如果你輸入'or
1=1
--
我們的sqlstr會變成什麼呢
select
*
from
t_users
where
username
=
''
or
1=1
--'
--後面屬於sql的注釋
所以都忽略了
即使後面有其他條件也忽略了
所以這條sql執行總是有返回結果,至於其他的高級的試探性語句你可以搜索其他資料
====================================================================
採用參數法添加數據的話
就不會出現這樣的問題.
程序會把'or
1=1
--
當成一個整體的字元串
然後在兩頭加單引號
變成這樣'\'
or
1=1
--'
由於\屬於轉義字元
所以不會閉合前面的單引號
所以這樣就防止了注入
//望採納
E. asp.net(C#)匹配正則表達,替換所有特殊符號,防止sql注入
防止sql注入,最簡單的辦法就是不要拼接sql,而是採用SqlParameter參數化形式,如果條件可能有可能沒有,可以採用:
string sql = "select * from xx where 1=1";
if(true){
sql += " and id=@id";
command.Parameters.Add(new SqlParameter
}
如果非要拼接sql,那麼對於數值型,拼接前判斷下是否數值,
字元串類型拼接前進行str.Replace("'", "''");// 把一個單引號替換為兩個單引號
就可以避免sql注入了
你用正則,效率低,而且成效也不見得好
F. C#中String.Format可以防止sql注入嗎
不能,要防止sql注入有2種方案:
過濾替換掉所有的非法字元
使用參數化方式
G. 求助C#.NET防SQL注入式攻擊方法
不要用拼接參數方式,使用parms賦值方式。
如:select * from table where username=:username
cmd.AddInParameter(":username", OracleType.VarChar, 50, "admin");
H. c#SQL防注入過濾函數疑問!
首先我們先了解為何會出現sql注入攻擊
那是因為用戶傳入字元串
然後我們將某些字元串作為參數傳給方法。
然後拼接字元串產生的。
而這些字元串,大多情況下由於存在特殊的符號比如『單引號,或者一些其他的符號。
對於這些參數,我建議使用SqlParameter[]
而不是直接拼接字元串。
這樣可以解決大部分的sql注入。
I. C#防止sql注入,在輸入的時候 會超過三次的錯誤,提示不能再輸入
先回答你的問題:聲明一個整型變數作為計數器,每次輸入之前先對計數器進行判斷,如果計數器小於3則允許輸入,並讓計數器自增1,如果計數器大於3則提示不能再輸入。
int i=0;
if(i<3)
{
//允許輸入
i++;
}
else
{
//提示不能輸入
}
回答了你的問題,我有一些別的問題要跟你探討一下,我懷疑你對Sql注入的理解有偏差,所謂Sql注入並不是指大量向資料庫中插入數據,而是指通過向資料庫中注入查詢語句導致數據損壞或者泄露。要防止Sql注入其實很簡單,不要直接拼接查詢語句,而是用Sql參數的方式傳參。關於這方面的知識網上非常多,只要你感興趣一定可以搞清楚。
PS:如果你理解的Sql注入是正確的話,那麼以上限制輸入次數的方式是根本無法解決問題的。