修改为SQL参数化查询防止SQL注入

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="AdminLogin.aspx.cs" Inherits="AdminLogin" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title>网站信息管理</title>
    <link href="AdminCss/Logincss.css" rel="stylesheet" type="text/css" />
</head>
<body>
    <form id="form1" runat="server">
    <div id="log_fm">
        <div class="log_box">
            <div class="btn_box">
                <div id="tb_1">
                    <asp:TextBox ID="userName" runat="server" CssClass="tb"></asp:TextBox>
                </div>
                
                <div id="tb_2">
                    <asp:TextBox ID="passWord" runat="server" CssClass="tb"  TextMode="Password"></asp:TextBox>
                </div>
                
                <div id="tb_3">
                    <asp:TextBox ID="txtCode" runat="server" CssClass="tb_yz" ></asp:TextBox>
                </div>
                
                <div id="yz">
                    <asp:Image ID="Image1" runat="server" ImageUrl="~/Admin/RandomImage.aspx" />
                </div>
             
                
                <div id="btn_1">
                    <asp:Button ID="Button1" runat="server" Text="登录" CssClass="btn" 
                        Font-Size="14px" onclick="Button1_Click"  />
                </div>
                    
                <div id="btn_2">
                    <asp:Button ID="Button2" runat="server" Text="重置" CssClass="btn"
                     Font-Size="14px" />
                </div>
            </div>
        </div>
    </div>
    </form>
</body>
</html>

using System;
using System.Collections;
using System.Configuration;
using System.Data;
using System.Data.OleDb;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;

public partial class AdminLogin : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
       
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
        string strConnnection = @"Provider=Microsoft.Jet.OLEDB.4.0;Data Source=";
        strConnnection += Server.MapPath("~/App_Data/DataMaster.mdb");
        OleDbConnection conn = new OleDbConnection(strConnnection);
        string cmdText = "SELECT COUNT(*) FROM [Admin] WHERE UserName='" + userName.Text + "' AND userPass='" + passWord.Text + "'";
        OleDbCommand cmd = new OleDbCommand(cmdText, conn);
        conn.Open();
        int count = (int)cmd.ExecuteScalar();
        conn.Close();
        
        if (string.Compare(Session["CheckCode"].ToString(), this.txtCode.Text, true) == 0  && count >0)
        {
            Session["myuser"] = userName.Text;
            Response.Write("<script>alert('登录成功!')</script>");
            ClientScript.RegisterStartupScript(this.GetType(), "e", "<script>window.location.href='Main.aspx';</script>");
            return;
        }
        else
        {
            Response.Write("<script>alert('输入错误!')</script>");
            ClientScript.RegisterStartupScript(this.GetType(), "e", "<script>window.location.href='AdminLogin.aspx';</script>");
        }
    }
}

代码如上，主要是防止SQL注入，要求代码可以直接上传服务器使用，不能有语法错误。

还有就是Web.config中 <customErrors mode="On" defaultRedirect="index.aspx"/> 这样设置是不是就不会显示WEB服务器详细的报错页面。谢谢大家。

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

CSDN专家-showbo 2021-05-27 21:41

关注

替换掉单引号

string cmdText = "SELECT COUNT(*) FROM [Admin] WHERE UserName='" + userName.Text.Replace("'","") + "' AND userPass='" + passWord.Text.Replace("'","") + "'";

参数化也可以

 protected void Button1_Click(object sender, EventArgs e)
    {
        string strConnnection = @"Provider=Microsoft.Jet.OLEDB.4.0;Data Source=";
        strConnnection += Server.MapPath("~/App_Data/DataMaster.mdb");
        OleDbConnection conn = new OleDbConnection(strConnnection);
        string cmdText = "SELECT COUNT(*) FROM [Admin] WHERE UserName=? AND userPass=?";
        OleDbCommand cmd = new OleDbCommand(cmdText, conn);
        //framwork2.0
        /*OleDbParameter pUserName = new OleDbParameter("UserName", OleDbType.LongVarWChar,50);
        pUserName.Size = 50;
        pUserName.Direction = ParameterDirection.Input;
        pUserName.Value = userName.Text;

        OleDbParameter puserPass = new OleDbParameter("userPass", OleDbType.LongVarWChar, 50);
        puserPass.Size = 50;
        puserPass.Direction = ParameterDirection.Input;
        puserPass.Value = passWord.Text;

        cmd.Parameters.Add(pUserName);
        cmd.Parameters.Add(puserPass);*/

        //对象初始化器需要framework3+以上，如果是2.0版本用上面注释的代码，下面2句的注释掉，要不会出错
        cmd.Parameters.Add(new OleDbParameter { ParameterName = "UserName", OleDbType = OleDbType.LongVarWChar, Value = userName.Text,Size=50,Direction=ParameterDirection.Input });
        cmd.Parameters.Add(new OleDbParameter { ParameterName = "userPass", OleDbType = OleDbType.LongVarWChar, Value = passWord.Text, Size = 50, Direction = ParameterDirection.Input });

        /////////////////////


        conn.Open();
        int count = (int)cmd.ExecuteScalar();
        conn.Close();
 
        if (/*string.Compare(Session["CheckCode"].ToString(), this.txtCode.Text, true) == 0 &&*/ count > 0)
        {
            Session["myuser"] = userName.Text;
            Response.Write("<script>alert('登录成功!')</script>");
            ClientScript.RegisterStartupScript(this.GetType(), "e", "<script>window.location.href='Main.aspx';</script>");
            return;
        }
        else
        {
            Response.Write("<script>alert('输入错误!')</script>");
            ClientScript.RegisterStartupScript(this.GetType(), "e", "<script>window.location.href='default.aspx';</script>");
        }
    }

帮助到你可以采纳支持下哦，谢谢~~实测参数化正常运行

本回答被题主选为最佳回答 , 对您是否有帮助呢?

查看更多回答(3条)

报告相同问题？

关注问题

如何修改sql语句防止sql注入 java sql
2022-11-17 12:46

回答 10 已采纳搜一搜，参数化查询使用参数的方式，那么不管对方往里面塞什么语句，它都被当做值而不是语法来执行什么转义，什么过滤，都是不靠谱的方法
SQL注入中的“参数化查询/预处理语句”如何比转义用户输入更好 mysql php sql
2017-12-05 04:51

回答 1 已采纳 Q: Can you give an example that parameterized query prevent the SQL injection attack when a user
PreparedStatement防止sql注入的一些疑问? sql
2018-11-08 10:20

回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数，所以根本不存在添加单引号一说。再说，添加单引号就不能注入了么？ SELECT * FROM employees WHERE salar
SQL注入漏洞-SQL注入
2022-03-05 16:51

HacHunter的博客先来讨论下SQL注入的定义，其实目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述：脚本注入式的攻击恶意用户输入用来影响被执行的SQL脚本 SQL注入是一种代码注入技术，过去常常用于攻击...
SQLserver保存的时候参数化报错 sql
2018-06-26 09:45

回答 6 已采纳 DESCRIPTION参数没赋值吧
加一个参数控制sql查询语句条件 java oracle sql
2022-08-29 10:08

回答 3 已采纳 <select id="selectByType" resultType="com.example.xxx.test"> select * from test wher
sql语句参数化查询的问题，急，求大神
2016-08-19 04:07

回答 5 已采纳我已经解决啦，谢谢各位啦
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
2022-07-03 00:02

擒贼先擒王的博客 SQL注入就是通过把 SQL 命令插入到 Web表单提交或输入域名或页面URL请求查询的字符串，最终达到欺骗服务器执行恶意的 SQL命令，假如管理员没有对 id 参数进行过滤那么黑客可以通过数据传输点将恶意的SQL语句带入...
为什么添加转义字符可以防止SQL注入？ html5 jquery mysql php python
2021-01-18 15:33

回答 3 已采纳例如输入 1 and true select * from table where id = 1 and true; select * from table where id = '1
为什么单引号能防止sql注入？ mysql php web安全
2022-11-03 10:23

回答 3 已采纳首先，单引号不是能防止sql注入，而是过滤掉用户输入部分的单引号能防止sql注入。在很多语言中，单引号都是做字符串引用的，在sql中也是如此，比如'abc'就是个字符串。但是sql中的单引号还有另一个
SQL:连接查询课程先行课 sql
2021-11-18 10:27

回答 2 已采纳 select x.cno,y.ctnofrom course.x,course.y --这里的 . 去掉改成 course x,course ywhere x.ctno=y.ctno;或者selec
审计一套CMS中的SQL注入
2019-08-07 10:11

微软技术分享的博客通过GET的方式接收一个传递参数，然后通过使用 addslashes 函数过滤，addslashes函数的作用是转义，将多余的单引号全部转义，转义以后交给llink变量保存结果，然后拼接SQL查询语句，由于拼接代码 $llink中存在单引号...
WAF是如何防止sql注入的？ web安全有问必答网络安全
2022-10-10 14:18

回答 2 已采纳 SQL注入之WAF绕过注入_Crazy Anime的博客-CSDN博客_sql注入绕过waf 本文主要讲的是如何绕过WAF的基础知识，写的
SQL Server手工注入方式
2023-01-04 09:17

~Echo的博客 Microsoft SQL Server（微软结构化查询语言服务器），也叫Mssql，是由美国微软公司所推出的关系型数据库。默认端口号为1433常见版本如下版本年份发布名称8.02000年8.02003年SQL Server 2000 64-bit版本9.02005年10....
SQL注入
2021-11-12 10:31

超级无敌回锅肉的博客 SQL 注入一、常见的数据库二、数据库结构三、Mysql注入基本流程四、盲注MySQL注入——Dns注入Sqlite 注入流程一、常见的数据库 Oracle ：甲骨文公司 SQL Server ：微软公司 ...SQL注入简介：一种针对于数据库的攻
没有解决我的问题, 去提问

悬赏问题

¥50 用易语言http 访问不了网页
¥50 safari浏览器fetch提交数据后数据丢失问题
¥15 matlab不知道怎么改，求解答！！
¥15 永磁直线电机的电流环pi调不出来
¥15 用stata实现聚类的代码
¥15 请问paddlehub能支持移动端开发吗？在Android studio上该如何部署？
¥20 docker里部署springboot项目，访问不到扬声器
¥15 netty整合springboot之后自动重连失效
¥15 悬赏！微信开发者工具报错，求帮改
¥20 wireshark抓不到vlan

码龄粉丝数原力等级 --

修改为SQL参数化查询防止SQL注入

4条回答默认最新

码龄粉丝数原力等级 --

悬赏问题

修改为SQL参数化查询防止SQL注入

4条回答 默认 最新

悬赏问题

4条回答默认最新