，2C#之ADO.Net 如何解决SQL注入漏洞攻击？

SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端，欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句：

1 "select * from T_stuff where name = '"+txtbox1.text+"'";

其中txtbox1是一个textbox控件，正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。

但是如果有用户在这个textbox控件中恶意输入一个拼接字符串，例如："1' or '1'='1",那么这个查询语句将会变成如下样子：

1 "select * from student where name = '1' or '1'='1'"

这样的话，无论如何都会查询出数据库中所有员工的所有信息，这是很大的危害。

针对这个问题，可以用占位符的方法来解决。我们利用SqlCommand类中Parameters的add方法进行改进，具体代码如下：

1 cmd.CommandText = "select * from student where name =@name";
2 cmd.Parameters.Add(new SqlParameter("@name",textBox1.Text));

◇Parameters机制主要会在数据库中的响应列进行比对，查询是否在该列中存在@后面的字符，这个时候再在textbox中输入类似“1' or '1'='1”的字符已经没有效果了。

◇@后面的字符参数不能运用于替代一些关键字等信息，只能够用于替代数据库中存在的项的具体值，也就是 “=”号后面的东西。