sql参数化查询
1. sql查询参数化举例
大概是在接受到$posts[age],接着$param=$_POST["age"];
再搜索这个变量里面的值,如果存在某个值就替换掉他。[*]具体你可以参考
http://bbs.cnhonker.com/forum.php?mod=viewthread&tid=5984&extra=page%3D1
2. sql怎么使用参数化
采用sp_executesql 系统存储过程,执行sql语句,就能传入参数,
这就是sql参数化sql脚本参数化
你可以根据上面的例子,将sql脚本中定义参数,然后后面赋值参数变量,
在查询分析器中执行,你就可以知道sql参数化的具体实现和概念了。
如有疑问,请及时沟通!
请采纳!
3. sql参数化查询
既然选择CommandType.Text,就应该将参数替换到sql语句中,不要使用变量了。
cmd.CommandText = string.Format("select * from WSN where factor='{0}' and list='{1}'", factor, list);
4. 参数化查询的SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如: Microsoft SQL Server 的参数格式是以 @ 字符加上参数名称而成,SQL Server 亦支持匿名参数 ?。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4) Microsoft Access 不支持具名参数,只支持匿名参数 ?。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ? MySQL 的参数格式是以 ? 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4 SqlCommand sqlcmd = new SqlCommand(INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4), sqlconn);
sqlcmd.Parameters.AddWithValue(@c1, 1); // 设定参数 @c1 的值。
sqlcmd.Parameters.AddWithValue(@c2, 2); // 设定参数 @c2 的值。
sqlcmd.Parameters.AddWithValue(@c3, 3); // 设定参数 @c3 的值。
sqlcmd.Parameters.AddWithValue(@c4, 4); // 设定参数 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close(); $query = sprintf(SELECT * FROM Users where UserName='%s' and Password='%s',
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);
或是
$db = new mysqli(localhost, user, pass, database);
$stmt = $mysqli -> prepare(SELECT priv FROM testUsers WHERE username=? AND password=?);
$stmt -> bind_param(ss, $user, $pass);
$stmt -> execute(); PreparedStatement prep = conn.prepareStatement(SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?);
prep.setString(1, username);
prep.setString(2, password); <cfquery name=Recordset1 datasource=cafetownsend>
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value=#URL.COMMENT_ID# cfsqltype=cf_sql_numeric>
</cfquery>
5. 哪位大侠知道sql参数化查询可以被注入攻击吗比如command.Parameters.Add("@card",SqlDbType.Int).Value
参数化的形式不会被注入攻击。
以前一些不合格的程序员,会将值和 sql 语句直接用字符串加法连接成一个长字符串,这样,值当中的一些符号和前后 sql 语句就会组合成新的含义,也就是注入攻击。
例如,检查一个用户是否存在:
"select * from users where user='" + user + "'"
如果用户输入 user 为 1' or '1'='1,那么整个 sql 语句就是:
select * from users where user='1' or '1'='1'
这个和原作者的意思是不一样的。如果组合入一些删除或修改语句,或者操作关键表的语句,就达到了攻击的目的。
6. 为什么参数化SQL查询可以防止SQL注入
参数化查询主要做了这些事情:
1:参数过滤
2:执行计划重用
因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。
7. 参数化sql查询语句
使用ADO.NET的parameter来构造查询语句,运行时会自动检查参数类型是否正确,能够有效地防止SQL injection attack
string = "select * from xinxi where id=@param";
8. sql为什么要参数化,怎么参数化
一、最主要是: 数据库 机制问题,参数化 可以加快 执行效率,数据库有个缓存区,可以缓存 非参数部分的语句(或者说 下次执行不用数据库再次 解析语句),而不用参数,每次数据库 都需要解析 语句
二、次要是:防止,sql语句特殊字,注入:减少,字符转义等
三、清晰 便于理解
9. 参数化查询为什么可以避免sql注入
因为参数化查询时,参数与SQL语句是分开提供的,攻击者构造的参数不会被拼接入SQL字符串,也就无法实现SQL注入攻击了