• 网约车陷阱多 谨防四类风险 2019-07-14
  • 水土保持-近在你身边-图解新闻 2019-07-14
  • 一诚长老:出去走一走 才知道有没有定力 2019-07-09
  • 中方有力回击!美国多个行业喊痛:“加征关税就是对美国消费者征税” 2019-07-07
  • 【学习时刻】参会专家盛小云:坚定文化自信,用高尚的作品引领社会风尚 2019-07-07
  • 安徽省高校公共体艺教育推行俱乐部制 2019-06-23
  • “一带一路”中小企业国际合作高峰论坛在京举行 2019-06-23
  • 端午节期间 拉萨至日喀则增开列车 2019-06-16
  • 朱迪:社会发展新阶段的消费品味特征 2019-06-15
  • 淳安县:构建“大调解”体系 2019-06-15
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-08
  • 轩辕坛-聚焦汽车两会热点 2019-06-07
  • 波罗木刻:一把刻刀 点木成“金” 2019-06-06
  • 最高检依法决定对余刚立案侦查 2019-06-05
  • 联播快讯:长江镇江段今起实施12天限时封航 2019-06-05
  • 青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
    4场进球彩方法 4场进球彩方法 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
     
    西宁威势最新网站制做案例展示
    Lastest Project
     
    西宁网站建设  
    当前位置为:4场进球彩方法 >> .NET编程 >> 正文  
    [原创]ACCESS 查询时使用 LIKE语句

    文章来源: 4场进球彩方法     发布时间:2011-3-19    浏览次数:8390    tags:OleDbParameter acces

    4场进球彩方法 www.iubwq.tw   在ASP.NET页面中,如果要用到LIKE语句查询,可以直接像写ASP一样拼接,这样查询是没有问题的,拼接出来的语句如下:

    sql = @"select * from User where [UserName] like '%" + this.TB_UserName.Text + "%' and [National] like '%" + this.DDL_National.SelectedValue.ToString() + "%'   ....

    点击页面查询按钮,能正常返回结果。

        当然稍有安全常识的人都知道,这样的写法直接拿到数据库查询是肯定会引起问题的,那就是SQL注入,所以在查询前一定要对拼接过来的值进行验证。但是验证的话又太麻烦,于是可以用参数式传递来解决,SQL语句如下:

        sql = "select * from QhWins_soldier where [UserName] like '%@UserName%' and [National] like '%@National%'  .....

      OK,再进一步定义参数,把参数放在OleDbCommand 的实例cmd中去,带到数据库查询,哈哈,心里想的美滋滋的,测试一下,竟然查询不到任何结果,而页面也不报错,TMD,郁天下之大闷也!搞来搞去,原来是MS的BUG,美梦破裂!

        于是走曲线救国,引入instr()函数,SQL语句如下:

    sql = "select * from QhWins_soldier where instr([UserName],@UserName) and instr([National],@National)  and  ....

      还是参数式传参,问题解决!

       注意,用此方法还是要对参数进行过滤,不然还是会有注入的,测试方法:

    .net 搜索注入,原创,哈哈
    在搜索中输入
    关键字) and (1=1  ,然后搜索,可以注入instr()函数,此方法适合注入:用ACCESS做的站,用到查询语句的时候。

    原理:

    语法错误 (操作符丢失) 在查询表达式......省略
    改进后语句变成下面的,
     'instr([Birthplace],西宁) and (1=1) order by [id] desc'

    成功注入


    上一篇:[原创] ASP.NET 文章内容分页程序
    下一篇:[原创]修改 Fckeditor ,使之保存文件时自动按时间创建目录,并修复链接上传失效的BUG
    评论列表
    正在加载评论……
      
    评论   
    呢  称:
    验证码: 若看不清请点击更换!
    内  容:
     
     
      在线洽谈咨询:
    点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
    与我交谈  与我交谈 与我交谈
    乘车路线    汇款方式   加盟合作  人才招聘  
    公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
    QQ:147399120    mail:[email protected]    电话: 13897410341    邮编:810000
    © Copyright( 2008-2009) www.iubwq.tw All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
    业务:青海网站制做、青海网站建设、青海网页设计、西宁网站制做、西宁网站建设、青海域名注册、青海网络推广、青海网站推广、青??占渥庥?/a>、4场进球彩方法、4场进球彩方法、网络安全

  • 网约车陷阱多 谨防四类风险 2019-07-14
  • 水土保持-近在你身边-图解新闻 2019-07-14
  • 一诚长老:出去走一走 才知道有没有定力 2019-07-09
  • 中方有力回击!美国多个行业喊痛:“加征关税就是对美国消费者征税” 2019-07-07
  • 【学习时刻】参会专家盛小云:坚定文化自信,用高尚的作品引领社会风尚 2019-07-07
  • 安徽省高校公共体艺教育推行俱乐部制 2019-06-23
  • “一带一路”中小企业国际合作高峰论坛在京举行 2019-06-23
  • 端午节期间 拉萨至日喀则增开列车 2019-06-16
  • 朱迪:社会发展新阶段的消费品味特征 2019-06-15
  • 淳安县:构建“大调解”体系 2019-06-15
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-08
  • 轩辕坛-聚焦汽车两会热点 2019-06-07
  • 波罗木刻:一把刻刀 点木成“金” 2019-06-06
  • 最高检依法决定对余刚立案侦查 2019-06-05
  • 联播快讯:长江镇江段今起实施12天限时封航 2019-06-05
  • mg东方珍兽怎样卡图 十一运夺金开奖结果查询 与官方湖北快3走势图怎么玩 龙王捕鱼技巧打法 2008奥运会网球冠军 皇家社会埃尔瓦 幸运之门时时乐走势图 世界杯法甲联赛 福建31选7开奖信息 伯明翰纽卡斯尔