在C# 中如何让T-SQL 包含敏感的嵌入参数
在项目需求中,根据用户从文本框输入的表名,查询该表的记录数。初步代码如下:
string sql = "select * from " + txtTableName.Text.Trim(); // txtTableName 是文本框
但这样有可能导致T-SQL注入式攻击,于是更改代码如下:
string sql = "select * from @tb_name";
cmd.Parameters.AddWithValue("@tb_name", txtTableName.Text.Trim());
......
执行,报错!!!
原因应该是:在T-SQL语句中,T-SQL关键字后面不能使用嵌入参数。
百度一番后,唯一值得参考的T-SQL语句,如下:
declare @tbl_name varchar(50)
declare @result int
declare @sql varchar(500)
set @sql= 'select '+ str(@result) +'=count(*) from '+@tbl_name
select @result as result
exec(@sql)
declare @result int
declare @sql varchar(500)
set @sql= 'select '+ str(@result) +'=count(*) from '+@tbl_name
select @result as result
exec(@sql)
斟酌一番后,根据我的项目需求,编写了如下的T-SQL语句:
declare @tb_name varchar(50)
declare @sql nvarchar(500)
set @tb_name= 'student' --表名
set @sql= 'select * from ' + @tb_name
exec sp_executesql @sql
declare @sql nvarchar(500)
set @tb_name= 'student' --表名
set @sql= 'select * from ' + @tb_name
exec sp_executesql @sql
注意:我这里使用了SQL Server的系统存储过程sp_executesql,详细介绍请查看MSDN。
应用到C#代码中如下:
C#代码//拖放两个控件如下:
//private System.Windows.Forms.Button btnQuery; //“查询按钮”
//private System.Windows.Forms.TextBox txtTableName; //“表名文本框”
private void btnQuery_Click(object sender, EventArgs e)
{
string strCon = "server=.;database=winform;uid=sa;pwd=sa;";
SqlConnection con = new SqlConnection(strCon);
/* ========================================
* 原本想实现以下SQL语句:
* string sql = "select * from @tb_name";
* ====================================== */
string sql = "declare @sql nvarchar(500)";
sql += "set @sql = 'select count(*) from ' + @tb_name ";
sql += "exec sp_executesql @sql";
SqlCommand cmd = new SqlCommand(sql, con);
//方法1
cmd.Parameters.Add("@tb_name", System.Data.SqlDbType.VarChar);
cmd.Parameters["@tb_name"].Value = txtTableName.Text.Trim();
//方法2
//cmd.Parameters.AddWithValue("@tb_name", txtTableName.Text.Trim());
/* ========================================
上面的C#代码相当于如下T-SQL语句:
declare @tbl_name varchar(50)
set @tbl_name='表名'
======================================== */
con.Open();
string str = cmd.ExecuteScalar().ToString();
con.Close();
MessageBox.Show(str); //显示执行结果
}
//private System.Windows.Forms.Button btnQuery; //“查询按钮”
//private System.Windows.Forms.TextBox txtTableName; //“表名文本框”
private void btnQuery_Click(object sender, EventArgs e)
{
string strCon = "server=.;database=winform;uid=sa;pwd=sa;";
SqlConnection con = new SqlConnection(strCon);
/* ========================================
* 原本想实现以下SQL语句:
* string sql = "select * from @tb_name";
* ====================================== */
string sql = "declare @sql nvarchar(500)";
sql += "set @sql = 'select count(*) from ' + @tb_name ";
sql += "exec sp_executesql @sql";
SqlCommand cmd = new SqlCommand(sql, con);
//方法1
cmd.Parameters.Add("@tb_name", System.Data.SqlDbType.VarChar);
cmd.Parameters["@tb_name"].Value = txtTableName.Text.Trim();
//方法2
//cmd.Parameters.AddWithValue("@tb_name", txtTableName.Text.Trim());
/* ========================================
上面的C#代码相当于如下T-SQL语句:
declare @tbl_name varchar(50)
set @tbl_name='表名'
======================================== */
con.Open();
string str = cmd.ExecuteScalar().ToString();
con.Close();
MessageBox.Show(str); //显示执行结果
}
以上C#代码只供测试使用。
| 作者: XuGang 网名:钢钢 |
| 出处: http://xugang.cnblogs.com |
| 声明: 本文版权归作者和博客园共有。转载时必须保留此段声明,且在文章页面明显位置给出原文连接地址! |
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 地球OL攻略 —— 某应届生求职总结
· 提示词工程——AI应用必不可少的技术
· Open-Sora 2.0 重磅开源!
· 周边上新:园子的第一款马克杯温暖上架