在C#中防止SQL注入的方法

时间:2021-05-02

为了防止用户通过传递非法字符而达到SQL注入攻击的目的,我们必须想办法过滤掉用户输入的非法字符,下面给出在C#中实现过滤非法字符的源代码,供大家参考。

在这个例子里仅仅对等号=和单引号'进行检查和过滤,其它非法字符可以用同样的方法来实现。

首先定义一个检查函数

bool CheckParams(params object[] args){ string[] Lawlesses={"=","'"}; if(Lawlesses==null||Lawlesses.Length<=0)return true; //构造正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接 写正则表达式亦可;string str_Regex=".*[";for(int i=0;i< Lawlesses.Length-1;i++) str_Regex+=Lawlesses[i]+"|";str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";//foreach(object arg in args){ if(arg is string)//如果是字符串,直接检查 { if(Regex.Matches(arg.ToString(),str_Regex).Count>0) return false; } else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查 { foreach(object obj in (ICollection)arg) { if(obj is string) { if(Regex.Matches(obj.ToString(),str_Regex).Count>0) return false; } } }}return true;}

我们用这个函数来检查传入的地址中是否含有非法字符即可。

本文源自:翔宇亭——IT乐园(http://),转载请保留此信息!

声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。

相关文章