PostgreSQL中NpgsqlParameter的用法

最新推荐文章于 2025-05-23 20:58:37 发布
最新推荐文章于 2025-05-23 20:58:37 发布
阅读量4.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PostgreSQL 文章标签: NpgsqlParameter SQL注入 数据库参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyazhen2011/article/details/86608273
本文探讨了在PostgreSQL数据库中使用NpgsqlParameter避免SQL注入风险的方法。通过对比直接执行SQL语句与使用参数化查询的示例,阐述了参数化查询在防范恶意输入、保护数据库安全方面的重要作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  本文主要介绍PostgreSQL数据库中NpgsqlParameter的用法。(MySql中MySqlParameter的用法与之类似)

  首先,为什么要用NpgsqlParameter?那就要先分析直接执行SQL语句的风险了。

  执行一个查询语句,目的是在表ModelInfo中查询ModelName等于某一值的行数目,该值由用户输入。代码如下:

static void Main(string[] args)
{
    var connStr = "Server=localhost;Port=5433;Username=postgres;Password=123456;Database=Testpg100";
    using (NpgsqlConnection con = new NpgsqlConnection(connStr))
    {
        string modelname = Console.ReadLine();
        string sql = "select count(*) from \"ModelInfo\" where \"ModelName\" = '" + modelname + "'";
        NpgsqlCommand cmd = new NpgsqlCommand(sql, con);
        con.Open();
        int num = Convert.ToInt32(cmd.ExecuteScalar());
        Console.WriteLine("count:" + num);
    }
}

  用户输入为harris时,查询字符串如下:

select count(*) from "ModelInfo" where "ModelName" = 'Harris'

  执行结果为:1,即:只有一条记录中“ModelName”的值为“Harris”。

  上述是正常的做法,程序员喜欢的这样做的用户。但总有用户不走寻常路,他们不会老老实实按照程序员的期待输入一个ModelName的值,他们想输入的更多,如:

harris' or "ModelId"='

    这是凌乱的输入表示什么?仅仅是ModelName的值的吗?看看它生成的查询字符串吧!

select count(*) from "ModelInfo" where "ModelName" = 'harris' or "ModelId"=''

    是不是很神奇,生成的查询字符串不仅是可执行的,而且有了完全不同的含义。它不仅查询ModelName等于Harris的记录,也查询了ModelId等于' '的记录,这完全超出了程序的预期。

    精巧的构造输入的SQL可以生成更厉害的语句,从而得到关于数据库中更多的信息,这些信息有可能是不应该提供给用户的,敏感信息的泄露会造成的损失不可预计。这种通过构造SQL获取数据库敏感信息的做法,有一个专业术语—SQL注入。

   如何避免SQL注入?使用NpgsqlParameter,而不是直接执行SQL语句!

static void Main(string[] args)
{
    var connStr = "Server=localhost;Port=5433;Username=postgres;Password=123456;Database=Testpg10";
    using (NpgsqlConnection con = new NpgsqlConnection(connStr))
    {
        string modelname = Console.ReadLine();
        string sql = "select count(*) from \"ModelInfo\" where \"ModelName\" = @name";
        NpgsqlCommand cmd = new NpgsqlCommand(sql, con);
        cmd.Parameters.Add(new NpgsqlParameter("@name", modelname));
        con.Open();
        int num = Convert.ToInt32(cmd.ExecuteScalar());
        Console.WriteLine(num);
    }
}

 

 

 

C#中PostgreSql操作类的设计
精通搬砖,资深技术砖家,在软件开发,人工智能,设备开发等领域都有研究。商业合作&交流学习可私信联系。
07-03 673
这个类提供了一个构造函数来接收数据库连接字符串,以及一些基本的方法来处理数据库操作。注意,为了安全起见,你应该使用参数化查询来防止SQL注入攻击。此外,这个类在每个方法中都使用了。在实际应用中,你可能还需要添加异常处理逻辑,以更好地管理数据库操作中可能出现的错误。库,它是PostgreSQL的.NET数据提供者。类设计,它提供了基本的数据库操作,如连接、查询、插入、更新和删除。在C#中设计一个PostgreSQL操作类,可以利用。
postgresql 基础入门】插入数据的多种方式 单条,多值,查询结果,插入数据冲突处理,批量导入,多种方式让数据插入更灵活
一个追逐梦想的码农
10-08 9651
postgresql 数据库是一款通用的关系型数据,在开源数据库中能与商业数据媲美,在业界也越来越流行。因为是开源数据库,不仅公开源码,还有很多使用案例,好用的插件,所以它的慢慢变成了数据库的先驱和标准,通过postgresql可以很好从使用到原理,彻底搞懂;如果是学习编程,也可以学到丰富的编程知识,数据结构,编程技巧,它里面还有很多精妙的架构设计,分层思想,可以灵活定制的思想。
关于sqlserver中SqlParameter的用法注意事项
人生在手
10-12 1220
关于sqlserver中SqlParameter的用法注意事项
C#SqlParameter参数写法
04-17
C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法C#SqlParameter参数写法
postgresql 常用参数配置
最新发布
zyb378747350的专栏
05-23 672
建议:根据并发调整(如 4MB),公式参考:work_mem = (总内存 - shared_buffers) / (max_connections * 2)。建议:通常设为 shared_buffers 的 1/32(若 shared_buffers=4GB,设为 128MB)。风险:可能丢失少量事务。建议:设为物理内存的 25%-30%(若总内存≥8GB,可设为 4GB)。建议:设为物理内存的 50%-75%(若总内存≥8GB,建议 6GB)。建议:若系统支持且内存>64GB,设为 on 提升性能。
C# 中SqlParameter类的使用方法小结
热门推荐
阳光岛主
08-06 3万+
 C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法:      例如:             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","
SqlParameter使用Like的问题
ahshow的专栏
03-11 7222
String name ="as"; String sql = "select * FROM tbl_table where Name like %@Name% "; SqlParameter parameter= new SqlParameter("@Name", name) ;//这样不管是SqlCommand或者SqlAdapter都不能获取这个@NameStri
SqlParameter的作用与用法
最数据的专栏
10-03 1743
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter Sq
C#-Npgsql-PostgreSQL处理程序
04-15
2. **连接与关闭**: 使用`NpgsqlConnection`类建立到PostgreSQL服务器的连接,然后通过`Open()`方法打开连接。在完成数据库操作后,应使用`Close()`或`Dispose()`来释放资源。 3. **命令执行**: `NpgsqlCommand`类...
postgresql动态库
07-19
可以在SQL语句中使用占位符(如@param1),然后通过NpgsqlCommand的Parameters集合添加NpgsqlParameter对象,指定参数名和值。 5. **事务处理**:NpgsqlTransaction类用于管理数据库事务。在开始事务后,一系列操作...
C# postgresql Copy
08-15
在你提供的代码中,可以看到使用了Npgsql库的NpgsqlParameter来传递参数,并使用IDBHelper接口的ExecuteNonQuery方法执行了插入操作。 需要注意的是,COPY命令和psql中的\copy不是一回事。\copy命令实际上是调用了...
模糊查询SqlParameter参数化like
weixin_43730397的博客
03-12 805
C# ADO.NET 模糊查询SqlParameter 这是我最开始写的 //查询分页数据的sql语句 StringBuilder sql = new StringBuilder("select * from (select *,ROW_NUMBER() over(order by EN_Role_ID) ROW_ID from EN_Role"); SqlParameter[] p = new ...
C#中SqlParameter的作用与用法
爱学习的皓哥
11-05 463
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
C#如何利用Npgsql调用以复合类型或表为参数的Function或Procedure
carcarrot的博客
06-17 1419
由于Postgresql中不像MSSQL可以有Table类型作为参数,因此自定义的类型可以是类似为一行记录的复合类型,而不能是表格。如果要用表格推荐考虑json数据类型(json的数组也是json类型),再在Functon或Procedure中用 “CREATE TEMP TABLE tmpTasks ASselect * from json_to_recordset(jsonParameter) t ("id" text, "no" text)转换成临时表;如果要用复合类型,可以采用复合类型数组的方...
postgresql事务
qq_40907977的博客
03-17 229
转载来源 :postgresql事务 https://www.cnblogs.com/xiaofoyuan/p/5285575.html 1、事务的使用 begin;//开启关闭自动提交的事务 insert into testtab01 values(0); rollback;//事务回滚 2、SavePoint的使用 begin;//开启关闭自动提交的事务 insert into tes...
SqlParameter[] parameters
weixin_30730053的博客
03-13 188
SqlParameter[] parameters = { new SqlParameter("@rdTypeName", readertype.rdTypeName), new SqlParameter("@CanLendQty", readertype.CanLendQty), } 或是 SqlParame...
pgsql的存储过程调用mysql_使用Npgsql库调用PostgreSQL的函数(存储过程)
weixin_31429257的博客
02-19 296
[OTL简单介绍: OTL 是 Oracle, Odbc and DB2-CLI Template Library 的缩写,是一个C++操控关系数据库的模板库,最新版本4.0.104,参见http://otl.sourceforge.net/SqlServer用惯了,还真用不惯一个其它的数据库,不过没办法混饭吃嘛,不研究不行,又没有个师傅,PostgreSQL的中文资料又少,本来想买...
SqlParameter防止SQL注入
帆布鞋也能走猫步
10-31 4084
在第一次做机房收费的时候就说到了SQL注入问题,当时,只知道有这么一个问题,也简单地查了一下,但对于当时的我来说,简直是高大上呀!一查SQL注入,好多方法,好麻烦!果断地挂起来!!! 其实,最开始学到SqlParameter的时候是在机房重构里面,只不过当时不知道这有什么用,只知道它是简单的传送一些参数罢了! 在牛腩中,才开始真真正正地将Sqlparameter和SQL注入连在一起!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值