SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句:
1 "select * from T_stuff where name = '"+txtbox1.text+"'";
其中txtbox1是一个textbox控件,正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。
但是如果有用户在这个textbox控件中恶意输入一个拼接字符串,例如:"1' or '1'='1",那么这个查询语句将会变成如下样子:
1 "select * from student where name = '1' or '1'='1'"
这样的话,无论如何都会查询出数据库中所有员工的所有信息,这是很大的危害。
针对这个问题,可以用占位符的方法来解决。我们利用SqlCommand类中Parameters的add方法进行改进,具体代码如下:
1 cmd.CommandText = "select * from student where name =@name"; 2 cmd.Parameters.Add(new SqlParameter("@name",textBox1.Text));
◇Parameters机制主要会在数据库中的响应列进行比对,查询是否在该列中存在@后面的字符,这个时候再在textbox中输入类似“1' or '1'='1”的字符已经没有效果了。
◇@后面的字符参数不能运用于替代一些关键字等信息,只能够用于替代数据库中存在的项的具体值,也就是 “=”号后面的东西。