那些遇到过的问题

如何在sql命令中使用c#变量

Kri*_*lay -2 c# sql variables

这就是我想要使用的;

string insertQuery = @"insert into userinfo (UserName, FirstName, LastName, 
                      E-mail, Password,  Country) 
                      values ( '" + uname + "', '" + fname + 
                      "','" + lname + "', '" + email + "')";
Run Code Online (Sandbox Code Playgroud)

其中+之间的每个变量都是带有值的字符串变量.但是当我运行此命令时,我得到一些不正确的语法错误.

这是我得到的新错误;

errorSystem.Data.SqlClient.SqlException(0x80131904):字符串或二进制数据将被截断.该语句已终止.在System.Data.SqlClient.SqlConnection.OnError(SqlException异常,布尔breakConnection,动作1 wrapCloseInAction) at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection, Action1个wrapCloseInAction)在System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj,布尔callerHasConnectionLock,布尔asyncClose)在System.Data.SqlClient.TdsParser. System.Data.SqlClient.SqlCommand.RunExecuteReaderTds中的System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds,RunBehavior runBehavior,String resetOptionsString)中的TryRun(RunBehavior runBehavior,SqlCommand cmdHandler,SqlDataReader dataStream,BulkCopySimpleResultSet bulkCopyHandler,TdsParserStateObject stateObj,Boolean&dataReady) (CommandBehavior cmdBehavior,RunBehavior runBehavior,Boolean returnStream,Boolean async,Int32 timeout,Task&task,Boolean asyncWrite,SqlDataReader ds)at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior,RunBehavior runBehavior,Boolean returnStream,String method,TaskCompletionSource 1 completion, Int32 timeout, Task& task, Boolean asyncWrite) at System.Data.SqlClient.SqlCommand.InternalExecuteNonQuery(TaskCompletionSource1完成,字符串 systemName,Boolean sendToPipe,Int32 timeout,Boolean asyncWrite)atRegistrationPage.Button1_Click1(Object sender,EventArgs e)in C:\ Users\kristhnen.jagambrum\Documents\Visual Studio 2012\Projects\Registration\Registration\RegistrationPage.aspx.cs:第50行ClientConnectionId:6d959e49-5b62-43be-b202-76f7eb1fbd2c

das*_*ght 5

您提出的问题非常好 - 您展示的代码是一行中两个安全问题的完美例证:

  • 表结构说明了黑客窃取用户密码的原因.
  • C#代码使SQL注入攻击成为可能.

解决第一个问题很难:您需要了解密码散列以及如何在DB中存储用户信息.这是一个有用的问答:在DB中存储密码的最佳方式

第二个问题更容易 - 您只需要用参数名替换注入的值,然后为每个参数名添加值:

... // Create SQL command, then set its text
command.CommandTest = @"INSERT INTO userinfo (
    UserName, FirstName, LastName, E-mail, Password_hash, Password_salt, Country
) VALUES ( @uname, @fname, @lname, @email, @pwd_hash, @pwd_salt, @country)";
// Bind the parameters
command.Parameters.Add(new SqlParameter("@uname", uname));
command.Parameters.Add(new SqlParameter("@fname", fname));
... // ...and so on
command.ExecuteNonQuery();
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

237 次

最近记录:

10 年,10 月 前
在数据库中存储密码的最佳方法 451
更多相关链接
相关归档
MS SQL Server的"之间"是否包含范围边界? 229
{"<user xmlns =''>不是预期的.}反序列化Twitter XML 191
将lambda表达式用于事件处理程序 101
如何在C#中触摸文件? 53
MySQL - 实体:表'TableDetails'中列'IsPrimaryKey'的值是DBNull 53
在SQL中获取该月的最后一天 46
SQL删除基于另一个表的行 30
SQL替换所有NULL 11
数据库中的回滚和调度? 11
识别C项目中所有变量的类型 7
难疑归档
如何检查列表是否为空? 3235
如何将命令行参数传递给Node.js程序? 2280
什么是Android上的"上下文"? 1872
什么是尾递归? 1602
在JavaScript中生成随机字符串/字符 1593
<button>与<input type ="button"/>.哪个用? 1588
如何遍历C#中的所有枚举值? 1359
JavaScript是一种传递引用还是按值传递的语言? 1311
对JavaScript对象数组进行排序 1233
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177