防止SQL注入,分析其原因并杜绝注入

概述一般情况下，都是在前台输入要插入的数据，然后后台直接把输入的数据连接到SQL语句上，就很容易遭到SQL注入的问题。比如： string sql=”insert into category(name) values(‘ ”+name+” ’)"; //这样的数据输入是通过双引号进行的字符串拼接"+字符串 注… 一般情况下，都是在前台输入要插入的数据，然后后台直接把输入的数据连接到SQL语句上，就很容易遭到sql注入的问题。

比如：

string sql=”insert into category(name) values(‘ ”+name+” ’)"; //这样的数据输入是通过双引号进行的字符串拼接"+字符串

注入语句：aaa’)delete category where-- //--表示，--后面的代码被注释掉后，就不执行了

而在单独的SQL语句中：insert into category(name) values(‘aaa’)

insert into category(name) values(‘aaa’)delete category where--')

若要防止sql注入，可以使用带参数的@字符串，表示参数而不是字符串；

string sql=”insert into category(name) values(@caname)"; //去掉@caname外面本来的单引号

接下来时赋值给@caname：

sqlCommand.Parameters.Add(new sqlParameter ("@caname “,"jazyzheng"))；//把jazyzheng赋值到参数caname中

重新赋值为sql注入语句：

sqlCommand.Parameters.Add(new sqlParameter ("@caname “,"aaa’)delete category where--"))；

当在前台输入数据后（aaa’)delete category where--），数据是通过参数传入的，而不是通过直接的字符串拼接方式传入，所以输入的数据会直接被当做参数，而不会当做字符串而执行字符串中的SQL语句。

有sqlCommand.Parameters.Add（），也有sqlCommand.Parameters.AddRange（）。

有时候插入的SQL语句参数不止一个，比如当插入新闻的时候，就会插入诸如标题，内容，时间等多个参数。AddRange传入的是一个数组。

sqlCommand.Parameters.AddRange（new sqlParameter[]

{

new sqlParameter("@caname","jazyzheng ")

});

比较完整的代码：

public int ExecuteNonquery(string sql,sqlParameter[] paras)
{
int res;
using (cmd = new sqlCommand(sql,GetConn()))
{
cmd.Parameters.AddRange(paras);
res = cmd.ExecuteNonquery();
}
return res;
}

public bool Insert(string caname)
{
bool flag = false;
string sql = "update category set [name]=@caname where ID=@ID";//需引用using System.Data.sqlClIEnt;
sqlParameter[] paras = new sqlParameter[]

{

new sqlParameter("@ID",ca.ID),
new sqlParameter("@caname",ca.name)

};

int res = sqlhelper.ExecuteNonquery(sql,paras);
if (res > 0)
{
flag = true;
}
return flag;
}

总结

以上是内存溢出为你收集整理的防止SQL注入,分析其原因并杜绝注入全部内容，希望文章能够帮你解决防止SQL注入,分析其原因并杜绝注入所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。