为了防止用户通过传递非法字符而达到SQL注入攻击的目的，我们必须想办法过滤掉用户输入的非法字符，下面给出在C#中实现过滤非法字符的源代码，供大家参考。

在这个例子里仅仅对等号=和单引号'进行检查和过滤，其它非法字符可以用同样的方法来实现。

首先定义一个检查函数

bool CheckParams(params object[] args){ string[] Lawlesses={"=","'"}; if(Lawlesses==null||Lawlesses.Length<=0)return true; //构造正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接 写正则表达式亦可;string str_Regex=".*[";for(int i=0;i< Lawlesses.Length-1;i++) str_Regex+=Lawlesses[i]+"|";str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";//foreach(object arg in args){ if(arg is string)//如果是字符串,直接检查 { if(Regex.Matches(arg.ToString(),str_Regex).Count>0) return false; } else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查 { foreach(object obj in (ICollection)arg) { if(obj is string) { if(Regex.Matches(obj.ToString(),str_Regex).Count>0) return false; } } }}return true;}

我们用这个函数来检查传入的地址中是否含有非法字符即可。

本文源自：翔宇亭——IT乐园（http://），转载请保留此信息！