C# 动态组合SQL脚本LIKE语句及查询参数防SQL注入攻击


  C# 动态组合SQL脚本LIKE语句及查询参数防SQL注入攻击C# 动态组合SQL脚本LIKE语句及查询参数防SQL注入攻击



动态组合SQL脚本的多个LIKE条件,并要求传入SQL参数防止SQL注入攻击。


贴图图片-动态组合SQL脚本LIKE语句查询参数



动态组合的SQL脚本:


贴图图片-动态组合SQL脚本LIKE语句查询参数1(1)



参考代码1:


C# Code:


public DataTable Search(String DocType, String DeptID, String FileCaption, String DocKind)
{
  
//构建CommandHelper实例,用于动态创建参数对象
  
CommandHelper cmd = _Database.CreateCommand("");
  
  StringBuilder sb
= new StringBuilder();
  sb.Append(
"SELECT * FROM dt_doc WHERE 1=1 ");
  
  
if (!String.IsNullOrEmpty(DocType))
  {
    sb.Append($
" AND DocType LIKE {_Database.ParamSymboName}DocType");//拼接SQL参数
    
cmd.AddParam("DocType", "%" + DocType + "%");// 添加SQL参数对象,组合LIKE条件的值
    
}
    
    
if (!String.IsNullOrEmpty(DeptID))
    {
      sb.Append($
" AND DeptID LIKE {_Database.ParamSymboName}DeptID");
      cmd.AddParam(
"DeptID", "%" + DeptID + "%");
    }
    
    
if (!String.IsNullOrEmpty(FileCaption))
    {
      sb.Append($
" AND FileCaption LIKE {_Database.ParamSymboName}FileCaption");
      cmd.AddParam(
"FileCaption", "%" + FileCaption + "%");
    }
    
    
//数字类型
    
if (!String.IsNullOrEmpty(DocKind))
    {
      sb.Append($
" AND DocKind = {_Database.ParamSymboName}DocKind");
      cmd.AddParam(
"DocKind", DocKind);
    }
    
    sb.Append(
" ORDER BY " + dt_Doc.__KeyName);
    
    
//给DbCommand绑定SQL脚本
    
DbCommand command = cmd.Command;
    command.CommandText
= sb.ToString();
    
    
//调用IDatabase底层组件的方法
    
return _Database.GetTable(command, dt_Doc.__TableName);
  }
  
  
//来源:C/S框架网 | www.csframework.com | QQ:23404761




参考代码2:



C# Code:

public DataTable Search(string content)
{
  
string sql = "SELECT * FROM tb_MyUser ";
  
  CommandHelper cmd
= _Database.CreateCommand("");
  
if (!string.IsNullOrEmpty(content))
  {
    sql
= sql + $" WHERE Account LIKE {_Database.ParamSymboName}Account OR UserName LIKE {_Database.ParamSymboName}UserName ";
    cmd.AddParam(
"Account", "%" + content + "%");
    cmd.AddParam(
"UserName", "%" + content + "%");
  }
  
  cmd.Command.CommandText
= sql;
  
  DataTable dt
= _Database.GetTable(cmd.Command, tb_MyUser.__TableName);
  
return dt;
}

//来源:C/S框架网 | www.csframework.com | QQ:23404761




C/S框架网|原创精神.创造价值.打造精品


扫一扫加作者微信
C/S框架网作者微信 C/S框架网|原创作品.质量保障.竭诚为您服务

版权声明:本文为开发框架文库发布内容,转载请附上原文出处连接
C/S框架网
上一篇:生成的项目模块(Project)添加到VS解决方案 - C/S框架三层架构代码生成器操作指南
下一篇:C# FieldFitString类:将资料表(DataTable)已修改的资料行数据去左右空格、全角转半角
评论列表

发表评论

评论内容
昵称:
关联文章

C# 动态组合SQL脚本LIKE语句查询参数SQL注入攻击
C# 检查字符串,SQL注入攻击
SQL注入攻击的原理及其防范措施
SQL注入攻击一日通
C#SQL注入攻击检查类SQLInjection
[原创]C# Access 模糊查询SQL语句
SQL注入漏洞全接触--高级篇
SQL注入漏洞全接触--进阶篇
SQL2008多个查询条件分页查询脚本(原创)
SQL注入漏洞全接触--入门篇
SQL使用LIKE查询模糊匹配多个特殊标点符号的数据
SQL Server应用程序中的高级SQL注入
ExecuteSql 执行SQL脚本/存储过程
C#实现SQL查询分析器(C# Visual SQL Query Designer)
C# 动态编译调用WebService的方法
SQL递归获取当前类别所有子类别,用于按类型查询
提交数据时生成的SQL脚本便于实时跟踪
动态SQL生成器(Dynamic SQL Generator)
WebApi接口安全之用户认证篡改数字签名(Data Sign)机制
LINQ 返回多组数据、组合数据

热门标签
.NET5 .NET6 .NET7 APP Auth-软件授权注册系统 Axios B/S B/S开发框架 Bug Bug记录 C#加密解密 C#源码 C/S CHATGPT CMS系统 CodeGenerator CSFramework.DB CSFramework.EF CSFrameworkV1学习版 CSFrameworkV2标准版 CSFrameworkV3高级版 CSFrameworkV4企业版 CSFrameworkV5旗舰版 CSFrameworkV6.0 CSFrameworkV6.1 DAL数据访问层 Database datalock DbFramework Demo教学 Demo下载 DevExpress教程 DOM EF框架 Element-UI EntityFramework ERP ES6 Excel FastReport GIT HR IDatabase IIS JavaScript LINQ MES MiniFramework MIS NavBarControl Node.JS NPM OMS ORM PaaS POS Promise API Redis SAP SEO SQL SQLConnector TMS系统 Token令牌 VS2022 VSCode VUE WCF WebApi WebApi NETCore WebApi框架 WEB开发框架 Windows服务 Winform 开发框架 Winform 开发平台 WinFramework Workflow工作流 Workflow流程引擎 版本区别 报表 踩坑日记 操作手册 代码生成器 迭代开发记录 基础资料窗体 架构设计 角色权限 开发sce 开发技巧 开发教程 开发框架 开发平台 开发指南 客户案例 快速搭站系统 快速开发平台 毛衫行业ERP 秘钥 密钥 权限设计 软件报价 软件测试报告 软件简介 软件开发框架 软件开发平台 软件开发文档 软件体系架构 软件下载 软著证书 三层架构 设计模式 生成代码 实用小技巧 收钱音箱 数据锁 数据同步 微信小程序 未解决问题 文档下载 喜鹊ERP 喜鹊软件 系统对接 详细设计说明书 新功能 行政区域数据库 需求分析 疑难杂症 蝇量级框架 蝇量框架 用户管理 用户开发手册 用户控件 在线支付 纸箱ERP 智能语音收款机 自定义窗体 自定义组件 自动升级程序