sqlparametersql注入

A. sql 注入 查询 特殊符号怎么处理

防止sql注入，最简单的办法就是不要拼接sql，而是采用SqlParameter参数化形式，如果条件可能有可能没有，可以采用：
string sql = "select * from xx where 1=1";
if(true){
sql += " and id=@id";
command.Parameters.Add(new SqlParameter
}

如果非要拼接sql，那么对于数值型，拼接前判断下是否数值，
字符串类型拼接前进行str.Replace("'", "''");// 把一个单引号替换为两个单引号
就可以避免sql注入了

B. ‘求指导’网站过滤了sql注入怎么整

防止SQL注入式攻击，一般都会采用参数化编程，即一些拼接性的条件改成用参数化的占位符来代替就可以防止SQL注入攻击。

1)C#

using(SqlCommandcom=con.CreateCommand()){
com.CommandType=CommandType.Text;
com.CommandText="UPDATEEmployeeSETTitle=@title"+
"WHEREId=@Employeeid";

//.
SqlParameterp1=com.CreateParameter();
p1.ParameterName="@title";
p1.SqlDbType=SqlDbType.VarChar;
p1.Value=title;
com.Parameters.Add(p1);

//.
com.Parameters.Add("@Employeeid",SqlDbType.Int).Value=employeeID;

//.
intresult=com.ExecuteNonQuery();
}

2)JAVA

PreparedStatementpstmt=null;
try{
StringSQL="UpdateEmployeesSETage=?WHEREid=?";
pstmt=conn.prepareStatement(SQL);
pstmt.setInt(1,yourvalue);//对应第1个？号
pstmt.setString(2,yourvalue);//对应第2个？号
}
catch(SQLExceptione){
...
}
finally{
...
}

C. SqlParameter是怎么防止SQL注入的

常，网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。
iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据（如URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问Web应用和攻击者的恶意行为，对攻击行为进行实时阻断和报警。

D. 为什么参数化查询可以防止SQL注入

首先：我们要了解SQL收到一个指令后所做的事情：

具体细节可以查看文章：Sql Server 编译、重编译与执行计划重用原理

在这里，我简单的表示为： 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。

具体可能有点不一样，但大致的步骤如上所示。

接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢？

首先创建一张表Users:
CREATE TABLE [dbo].[Users](

[Id] [uniqueidentifier] NOT NULL,

[UserId] [int] NOT NULL,

[UserName] [varchar](50) NULL,

[Password] [varchar](50) NOT NULL,

CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED

(

[Id] ASC

)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]

) ON [PRIMARY]

插入一些数据：
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');

假设我们有个用户登录的页面，代码如下：

验证用户登录的sql 如下：
select COUNT(*) from Users where Password = 'a' and UserName = 'b'

这段代码返回Password 和UserName都匹配的用户数量，如果大于1的话，那么就代表用户存在。

本文不讨论SQL 中的密码策略，也不讨论代码规范，主要是讲为什么能够防止SQL注入，请一些同学不要纠结与某些代码，或者和SQL注入无关的主题。

可以看到执行结果：

这个是SQL profile 跟踪的SQL 语句。

注入的代码如下：
select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'

这里有人将UserName设置为了 “b' or 1=1 –”.

实际执行的SQL就变成了如下：

可以很明显的看到SQL注入成功了。

很多人都知道参数化查询可以避免上面出现的注入问题，比如下面的代码：
class Program
{
private static string connectionString = "Data Source=.;Initial Catalog=Test;Integrated Security=True";

static void Main(string[] args)
{
Login("b", "a");
Login("b' or 1=1--", "a");
}

private static void Login(string userName, string password)
{
using (SqlConnection conn = new SqlConnection(connectionString))
{
conn.Open();
SqlCommand comm = new SqlCommand();
comm.Connection = conn;
//为每一条数据添加一个参数
comm.CommandText = "select COUNT(*) from Users where Password = @Password and UserName = @UserName";
comm.Parameters.AddRange(
new SqlParameter[]{
new SqlParameter("@Password", SqlDbType.VarChar) { Value = password},
new SqlParameter("@UserName", SqlDbType.VarChar) { Value = userName},
});

comm.ExecuteNonQuery();
}
}
}

实际执行的SQL 如下所示：
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(1)',@Password='a',@UserName='b'
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(11)',@Password='a',@UserName='b'' or 1=1—'

可以看到参数化查询主要做了这些事情：
1：参数过滤，可以看到 @UserName='b'' or 1=1—'
2：执行计划重用

因为执行计划被重用，所以可以防止SQL注入。

首先分析SQL注入的本质，

用户写了一段SQL 用来表示查找密码是a的，用户名是b的所有用户的数量。

通过注入SQL，这段SQL现在表示的含义是查找(密码是a的，并且用户名是b的，) 或者1=1 的所有用户的数量。

可以看到SQL的语意发生了改变，为什么发生了改变呢？，因为没有重用以前的执行计划，因为对注入后的SQL语句重新进行了编译，因为重新执行了语法解析。所以要保证SQL语义不变，即我想要表达SQL就是我想表达的意思，不是别的注入后的意思，就应该重用执行计划。

如果不能够重用执行计划，那么就有SQL注入的风险，因为SQL的语意有可能会变化，所表达的查询就可能变化。

在SQL Server 中查询执行计划可以使用下面的脚本：
DBCC FreeProccache

select total_elapsed_time / execution_count 平均时间,total_logical_reads/execution_count 逻辑读,
usecounts 重用次数,SUBSTRING(d.text, (statement_start_offset/2) + 1,
((CASE statement_end_offset
WHEN -1 THEN DATALENGTH(text)
ELSE statement_end_offset END
- statement_start_offset)/2) + 1) 语句执行 from sys.dm_exec_cached_plans a
cross apply sys.dm_exec_query_plan(a.plan_handle) c
,sys.dm_exec_query_stats b
cross apply sys.dm_exec_sql_text(b.sql_handle) d
--where a.plan_handle=b.plan_handle and total_logical_reads/execution_count>4000
ORDER BY total_elapsed_time / execution_count DESC;

E. sql注入攻击怎么解决

网络：

SQL注入攻击是你需要担心的事情，不管你用什么web编程技术，再说所有的web框架都需要担心这个的。你需要遵循几条非常基本的规则：
1）在构造动态SQL语句时，一定要使用类安全（type-safe）的参数加码机制。大多数的数据API，包括ADO和ADO. NET，有这样的支持，允许你指定所提供的参数的确切类型（譬如，字符串，整数，日期等），可以保证这些参数被恰当地escaped/encoded了，来避免黑客利用它们。一定要从始到终地使用这些特性。
例如，在ADO. NET里对动态SQL，你可以象下面这样重写上述的语句，使之安全：
Dim SSN as String = Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname,au_fname FROM authors WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id",SqlDbType.VarChar)
param.Value = SSN
cmd.Parameters.Add(param)
这将防止有人试图偷偷注入另外的SQL表达式（因为ADO. NET知道对au_id的字符串值进行加码），以及避免其他数据问题（譬如不正确地转换数值类型等）。注意，VS 2005内置的TableAdapter/DataSet设计器自动使用这个机制，ASP. NET 2.0数据源控件也是如此。
一个常见的错误知觉（misperception）是，假如你使用了存储过程或ORM，你就完全不受SQL注入攻击之害了。这是不正确的，你还是需要确定在给存储过程传递数据时你很谨慎，或在用ORM来定制一个查询时，你的做法是安全的。
2） 在部署你的应用前，始终要做安全审评（security review）。建立一个正式的安全过程（formal security process），在每次你做更新时，对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线（going live）前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关，推说，“就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。
3） 千万别把敏感性数据在数据库里以明文存放。我个人的意见是，密码应该总是在单向（one-way)hashed过后再存放，我甚至不喜欢将它们在加密后存放。在默认设置下，ASP. NET 2.0 Membership API 自动为你这么做，还同时实现了安全的SALT 随机化行为（SALT randomization behavior）。如果你决定建立自己的成员数据库，我建议你查看一下我们在这里发表的我们自己的Membership provider的源码。同时也确定对你的数据库里的信用卡和其他的私有数据进行了加密。这样即使你的数据库被人入侵（compromised）了的话，起码你的客户的私有数据不会被人利用。
4）确认你编写了自动化的单元测试，来特别校验你的数据访问层和应用程序不受SQL注入攻击。这么做是非常重要的，有助于捕捉住（catch）“就是一个小小的更新，所有不会有安全问题”的情形带来的疏忽，来提供额外的安全层以避免偶然地引进坏的安全缺陷到你的应用里去。
5）锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限。如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限从你的account payables表来生成报表，那么确认你禁止它对此表的 insert/update/delete 的权限。
6）很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用 来防止别人进行手动注入测试（。
可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。
7）对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。
第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢？笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。
⒈对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。
⒉对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。
⒊把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。
由于SQL注入攻击针对的是应用开发过程中的编程不严密，因而对于绝大多数防火墙来说，这种攻击是“合法”的。问题的解决只有依赖于完善编程。专门针对SQL注入攻击的工具较少，Wpoison对于用asp，php进行的开发有一定帮助...。

F. c# sqlparameter绝对能防注入

没有绝对的事情...
现在的黑客也会与时俱进...你会防他就会想到办法去功...
sqlparameter估计是最经常用的啦...参数可以降低注入的攻击...
如何防范SQL注入攻击:
http://ke..com/view/983303.htm
下面有介绍

G. C#防止sql注入问题

采用了参数法给sql传递参数

SQL注入的原理你要先了解,因为以前SQL语句是用字符串拼接来组的.所以就有人想到如果我输入一个单引号来闭合原本程序里的单引号 然后在自己加些条件呢.

加入原本代码
String SQLStr = "select * from t_users where username='"+ txtusername.Text +"'";

如果你输入'or 1=1 -- 我们的SQLStr会变成什么呢

select * from t_users where username = '' or 1=1 --'
--后面属于sql的注释 所以都忽略了 即使后面有其他条件也忽略了

所以这条SQL执行总是有返回结果,至于其他的高级的试探性语句你可以搜索其他资料

====================================================================
采用参数法添加数据的话 就不会出现这样的问题.

程序会把'or 1=1 -- 当成一个整体的字符串 然后在两头加单引号 变成这样'\' or 1=1 --' 由于\属于转义字符 所以不会闭合前面的单引号

所以这样就防止了注入

//望采纳

H. 关于注册防止sql注入，用参数的形式，怎么实现呢

sql语句书写格式：
string sql = "insert into tablename values(@canshu1,@canshu2,@canshu3)";
SqlParameter[] sp = new SqlParameter[]{ //参数赋值
new SqlParameter ("@canshu1",canshu1 ),
new SqlParameter ("@canshu2",canshu2 ),
new SqlParameter ("@canshu3",canshu3 ),

};
int rs = db.Execute(sql, sp);//执行sql语句

执行参数化SQL语句的方法：
public int Execute(string sql, SqlParameter[] values)
{
SqlCommand cmd = new SqlCommand();
cmd.CommandText = sql;
cmd.Connection = DBMM.Conn;
cmd.Parameters.AddRange(values);
cmd.Connection.Open();
SqlTransaction tran = cmd.Connection.BeginTransaction();
cmd.Transaction = tran;
try
{
cmd.ExecuteNonQuery();
tran.Commit();
}
catch (Exception ex)
{
tran.Rollback();
return 0;
}
finally
{
cmd.Connection.Close();
}
return 1;
}