青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> .NET编程 >> 正文  
[原创]ACCESS 查询时使用 LIKE语句

文章来源: 西宁威势电子信息服务有限公司     发布时间:2011-3-19    浏览次数:8021    tags:OleDbParameter acces

  在ASP.NET页面中,如果要用到LIKE语句查询,可以直接像写ASP一样拼接,这样查询是没有问题的,拼接出来的语句如下:

sql = @"select * from User where [UserName] like '%" + this.TB_UserName.Text + "%' and [National] like '%" + this.DDL_National.SelectedValue.ToString() + "%'   ....

点击页面查询按钮,能正常返回结果。

    当然稍有安全常识的人都知道,这样的写法直接拿到数据库查询是肯定会引起问题的,那就是SQL注入,所以在查询前一定要对拼接过来的值进行验证。但是验证的话又太麻烦,于是可以用参数式传递来解决,SQL语句如下:

    sql = "select * from QhWins_soldier where [UserName] like '%@UserName%' and [National] like '%@National%'  .....

  OK,再进一步定义参数,把参数放在OleDbCommand 的实例cmd中去,带到数据库查询,哈哈,心里想的美滋滋的,测试一下,竟然查询不到任何结果,而页面也不报错,TMD,郁天下之大闷也!搞来搞去,原来是MS的BUG,美梦破裂!

    于是走曲线救国,引入instr()函数,SQL语句如下:

sql = "select * from QhWins_soldier where instr([UserName],@UserName) and instr([National],@National)  and  ....

  还是参数式传参,问题解决!

   注意,用此方法还是要对参数进行过滤,不然还是会有注入的,测试方法:

.net 搜索注入,原创,哈哈
在搜索中输入
关键字) and (1=1  ,然后搜索,可以注入instr()函数,此方法适合注入:用ACCESS做的站,用到查询语句的时候。

原理:

语法错误 (操作符丢失) 在查询表达式......省略
改进后语句变成下面的,
 'instr([Birthplace],西宁) and (1=1) order by [id] desc'

成功注入


上一篇:[原创] ASP.NET 文章内容分页程序
下一篇:[原创]修改 Fckeditor ,使之保存文件时自动按时间创建目录,并修复链接上传失效的BUG
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全