在ASP.Net中防止SQL注入
我有这个代码
UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ') 我该如何防止SQL注入? UPDATE 这是我正在尝试的 SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref",con); cmd.Parameters.AddWithValue("@ref",34); 由于某些原因,我尝试添加它似乎没有工作,我不断得到下面提到的SQL命令. 这是错误 'SqlCommand' is a type and cannot be used as an expression 我接管别人的工作,所以这对我来说都是新手,我想做正确的事情,所以如果任何人可以提供任何更多的帮助,如何使我的查询从SQL注入安全,那么请做. 更新2 我在代码中添加了VasilP这样说的 Dim dbQuery As [String] = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'" 但是我收到一个错误工具没有声明我需要指定一个名字空间才能工作吗? UPDATE 有没有人有任何想法,最好的让我的查询从SQL注入安全,没有我遇到的错误? UPDATE 我现在有它所以它的工作没有参数位这里是我更新的源代码任何想法为什么它不会添加参数值? Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'") conn.Open() Dim query As New SqlCommand("Select * from openquery (db,'Select * from table where investor = @investor ') ",conn) query.Parameters.AddWithValue("@investor",69836) dgBookings.DataSource = query.ExecuteReader dgBookings.DataBind() 它像这样工作 Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'") conn.Open() Dim query As New SqlCommand("Select * from openquery (db,'Select * from table where investor = 69836') ",conn) dgBookings.DataSource = query.ExecuteReader dgBookings.DataBind() 我得到的错误是这个 An error occurred while preparing a query for execution against OLE DB provider 'MSDASQL'. 这是因为它不是用69836替换@investor 有任何想法吗? 解 这是我如何解决我的问题 Dim conn As SqlConnection = New SqlConnection("server='h'; user id='w'; password='w'; database='w'; pooling='false'") conn.Open() Dim query As New SqlCommand("DECLARE @investor varchar(10),@sql varchar(1000) Select @investor = 69836 select @sql = 'SELECT * FROM OPENQUERY(db,''SELECT * FROM table WHERE investor = ''''' + @investor + ''''''')' EXEC(@sql)",conn) dgBookings.DataSource = query.ExecuteReader dgBookings.DataBind() 现在我可以编写查询,而不用担心SQL注入 解决方法
尝试使用
parameterized query这里是一个链接
http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/
另外,不要使用OpenQuery …使用这个来运行选择 SELECT * FROM db...table WHERE ref = @ref AND bookno = @bookno 更多文章描述您的一些选项: http://support.microsoft.com/kb/314520 What is the T-SQL syntax to connect to another SQL Server? 编辑 注意:您的原始问题是询问分布式查询和链接服务器.此新语句不引用分布式查询.我只能假设你现在直接连接到数据库.这是一个应该有效的例子. SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref",con); cmd.Parameters.Add("@ref",SqlDbType.Int); cmd.Parameters["@ref"] = 34; 编辑: Ok Jamie taylor我会再次回答你的问题. 您正在使用OpenQuery,因为您可能正在使用链接的数据库 基本上问题是OpenQuery方法接受一个字符串,您不能传递一个变量作为发送到OpenQuery的字符串的一部分. 您可以像这样格式化您的查询.符号遵循servername.databasename.schemaname.tablename.如果您通过odbc使用链接的服务器,那么请省略databasename和schemaname,如下所示 Dim conn As SqlConnection = New SqlConnection("your SQL Connection String") Dim cmd As SqlCommand = conn.CreateCommand() cmd.CommandText = "Select * db...table where investor = @investor" Dim parameter As SqlParameter = cmd.CreateParameter() parameter.DbType = SqlDbType.Int parameter.ParameterName = "@investor" parameter.Direction = ParameterDirection.Input parameter.Value = 34 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc-3 – 如何将int数组传递给RouteValueDictionar
- asp.net-mvc – ASP.NET MVC – AntiForgeryToken会阻止用户
- asp.net – 在.net 3.5中使用两个值绑定下拉列表
- asp.net – 双回发问题
- asp.net – 在控制台.NET核心应用程序中创建用户
- asp.net – 将tracelistener添加到web.config
- asp.net – 重启后,每个页面的MVC应用程序都很慢
- asp.net – 为什么aspx文件返回404(“无法找到该页面”)
- asp.net-mvc – 如何使用Html.Action?
- 多线程和异步编程示例和实践-踩过的坑
- asp.net核心 – 在ASP.NET Core的WebDeploy期间,
- ASP.NET-MVC.如何从URL获取控制器名称?
- asp.net signalR 专题—— 第三篇 如何从外部线程
- asp.net-mvc – MVC3验证 – 需要一个组
- 使用Asp.net在jquery中更改事件
- ASP.NET 存取EXCEL 使用NPOI相关小技巧
- asp.net mvc更新多条记录
- asp.net-web-api – 使用swashbuckle api文档的h
- asp.net – Aspnet网站管理工具,Users表或aspnet
- asp.net-mvc – 如何设置AntiForgeryToken cooki