OleDbParameter参数的使用

最新推荐文章于 2024-09-05 13:41:49 发布
最新推荐文章于 2024-09-05 13:41:49 发布
阅读量4.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ASP.NET 文章标签: string cmd sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuawang/article/details/1523385
本文介绍了一种通过参数化查询来防止SQL注入的方法。该方法通过使用OleDbParameter对象将用户输入与SQL查询分离,从而有效避免了SQL注入攻击。文章提供了一个具体的示例代码,展示了如何创建参数并将其添加到SQL查询中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 运用参数可防止一些sql攻击

       public bool judIDPW(string CustomerName, string CustomerPassword)
        {
            OleDbParameter par1 = new OleDbParameter();
            par1.ParameterName = "@CustomerName";
            par1.Value = CustomerName;
            OleDbParameter par2 = new OleDbParameter();
            par2.ParameterName = "@CustomerPassword";
            par2.Value =Security.Encrypt(CustomerPassword);

            OleDbCommand cmd = new OleDbCommand("select CustomerID from Customers where CustomerName=@Customer and CustomerPassword=@CustomerPassword", con);
            cmd.Parameters.Add(par1);
            cmd.Parameters.Add(par2);
            con.Open();
            OleDbDataReader dr = cmd.ExecuteReader();
            if (dr.Read())
            {
                con.Close();
                return true;
            }
            else
            {
                con.Close();
                return false;
            }
        }

 
实例132带参数的Command命令:OledbParameter
复行数十步
05-23 548
OleDbParameter 类 https://docs.microsoft.com/zh-cn/dotnet/api/system.data.oledb.oledbparameter?view=dotnet-plat-ext-3.1 OleDbParameter对象要配合OleDbComrnand对象一起使用OLeDbParameter类具有一个名为 Parameters 的属性, 该属性为 OleDbParameterCollection 类型。OLeDbParamererColl...
关于ACCESS下OleDbParameter使用
Wayne_C的Blog
05-24 3745
今天,还是在做那个项目,依然使用往常的sqlhelper用法,往常的数据库操作类,但是偏偏调试不成功,而且最重要的是,它不报错中午吃饭回来,本来想打算睡个午觉的,但是项目太紧迫了,于是又跟车车研究了一中午,最后,发现如果不用@参数传递的话,是正常运行的,于是百度了一下,那些人说要用“?”当占位符我想想觉得不正确,于是做了一个实验,发现那是假话晚上回来,国龙帮我解决了这个问题了原来,
OleDbParameter 在Access中的用法
Mars的专栏
12-27 6214
public static int Update(string title, string addTime, string content, int typeID, int id,string rollimg)    {        OleDbConnection con = DBcon.createcon();        con.Open();        string cmdText = "Update News Set NewsTitle=?, AddTime=?, Content=?, Ty
关于OleDbParameter的困扰
bangezhi5126的博客
07-09 308
这几天,因为框架方面的需求,需要给实体在保存时将数据库的默认值加载出来。Hibernate提供了这样一种机制,就是保存实体的时候,会返回一个序列化,如果id是自增主键,那么返回的就是插入的id。如果还有些列的话,那么我们根据返回的id去加载一次,这样其实会有三次操作: 1 执行保存; 2 查找出插入的主键; 3 根据主键加载。 趁没啥事,就去反编译了它底层代码,他们去查最新插入i...
OleDbParameter参数类要注意参数顺序必须和SQL文中参数顺序一致
huobengluantiao8
05-20 521
使用OleDbParameter参数类需要注意参数顺序必须要和SQL文中此参数出现的顺序一致。例如更新一条数据: /// <summary> /// 更新一条数据 /// </summary> public void Update(Maticsoft.Model.TContent model) { StringBuilder strSql = new S...
C#使用OleDB操作ACCESS插入数据时提示:参数 @p_Contract 没有默认值
无知人生,记录点滴
06-14 5792
C#使用OleDB操作ACCESS插入数据时提示:参数 @p_Contract 没有默认值OleDbParameter param = new OleDbParameter("" + dc.ColumnName, dc.DataType);出现该问题的原因是创建了Parameter,却没有为Parameter.value指定一个值。
c#oracle参数化查询,关于OLEDB参数化查询【.net】
weixin_35879493的博客
04-04 667
使用参数化 DbCommand 的一个缺点是需要参数的代码将仅适用于支持相同语法的提供程序。OLEDB、SqlClient 和 Oracle 提供程序全部使用不同的语法。例如,用于命名和指定参数SQL 语法使用 @ 符号,OLEDB 参数语法需要使用问号 (?) 作为参数占位符,而 Oracle 提供程序使用冒号 (:)。string sqlstr = " select * from tabl...
asp.net和asp下ACCESS的参数化查询
12-02
今天我就把我用ACCESS参数化查询的一些方法和经验和大家分享 希望对大家有所启发,有写的不对的地方希望高手们多多指教 ASP.NET 用OleDbCommand的new OleDbParameter创建参数货查询 ASP用Command的CreateParameter...
数据库-ADONET-OleDbParameter对象参考
weixin_33736832的博客
09-23 99
  OleDbParameter对象参考 1.        创建对象 Parameter对象有6个构造函数 ParameterCollection集合对象有6个重载的Add方法 以上都可以创建OleDbParameter对象 还可以使用Command对象的CreateParameter方法   OleDbParameter对象构造时可以设置ParameterName、OleDbT...
.NET framework 一个关于OleDbParameters的Bug
weixin_34240520的博客
01-07 199
最近在写一个简单的小应用程序,出现了一个让我头疼大半天的问题,搞到最后才弄清楚,原来是OleDbParameters的一个Bug具体情况如下:开始我在使用OleDbCommand进行数据库的更新操作,代码如下: OleDbConnection _SC = new OleDbConnection(this.GetConnectionString());            string Upda...
Parameters用法
willonboy的专栏
08-02 6716
SQL = "Insert Into titledetail (DETAILS_NAME, DETAILS_EMAIL, DETAILS_SUBJECT, DETAILS_CONTENT, TITLES_ID)Values (?, ?, ?, ?, ?)"  建立参数        Cmd = New OleDbCommand(SQL, Conn) 建立Command对象        向S
.net OleDbParameter转SugarParameter
weixin_42064877的博客
05-25 1434
.net OleDbParameter转SugarParameter
Access用OleDbParameter更新/插入数据
weixin_30466039的博客
04-26 196
/// <summary> /// 更新一条数据 /// </summary> public void Update(ZPY.Model.News model) { StringBuilder strSql=new StringBuilder(); strSql.Append("update News set "); ...
使用OleDbParameter来操作Access数…
牧野之歌
06-07 1025
查资料才知道,这是微软的一个BUG。在更新Access数据库时,如果使用OleDbParameter。那么OleDbParameter参数的的定义顺序必须和查询语句中参数出现的顺序一致!
利用OleDbParameter实现ACCESS信息的有条件读取
weixin_30820151的博客
07-26 363
在对ACCESS进行查询的时候,如果按照下面的方法进行有参数的查询 Code///<summary>///执行查询语句,返回DataSet///</summary>///<paramname="SQLString">查询语句</param>//...
C#中OLEDB数据库操作详解与实践
最新发布
weixin_42577243的博客
09-05 2826
本文还有配套的精品资源,点击获取 简介:本教程详述了如何使用OLEDB接口在C#中进行数据库操作,涵盖连接、SQL命令执行和结果读取等核心概念。包括使用 OleDbConnection 建立数据源连接、 OleDbCommand 执行数据库命令以及 OleDbDataReader 获取查询结果。同时,强调了参数化查询的重要性以避免S...
关于OLEDB参数化查询【.net】
Baple的专栏
09-13 7576
使用参数化 DbCommand 的一个缺点是需要参数的代码将仅适用于支持相同语法的提供程序。OLEDB、SqlClient 和 Oracle 提供程序全部使用不同的语法。例如,用于命名和指定参数SQL 语法使用 @ 符号,OLEDB 参数语法需要使用问号 (?) 作为参数占位符,而 Oracle 提供程序使用冒号 (:)。  string sqlstr = " select * from
SqlParameter使用Like的问题
亜侖的专栏
10-13 960
String name ="as"; String sql = "select * FROM tbl_table where Name like '%@Name%' "; SqlParameter parameter= new SqlParameter("@Name", name
asp.net OleDbParameter跟顺序有关?
ddn3663的博客
10-09 194
OleDbParameter[] paras = new OleDbParameter[] { new OleDbParameter ("@title",news.Title ), new OleDbParameter ("@content",news.Content ), new OleDbParame...
ACCESS数据库安全:ASP.NET与ASP的参数化查询技巧
"ASP.NET与ASP中使用ACCESS进行参数化查询的方法" 在Web开发中,尤其是在使用ACCESS数据库时,安全问题至关重要,特别是SQL注入攻击。传统的解决方案是通过替换特殊字符来防止注入,但这种方法并不完全有效。参数化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值