ASP.NET阻止SQL注入 | 周忞 | 吉心的记事本

ASP.NET阻止SQL注入

一,验证方法

///

///SQL注入过滤
///

/// 要过滤的字符串 /// 如果参数存在不安全字符,则返回true
public static bool SqlFilter2(string InText)
{
string word=”and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join”;
if(InText==null)
return false;
foreach(string i in word.Split(‘|’))
{
if((InText.ToLower().IndexOf(i+” “)>-1)||(InText.ToLower().IndexOf(” “+i)>-1))
{
return true;
}
}
return false;
}

二,Global.asax 事件

///

/// 当有数据时交时,触发事件
///

/// /// protected void Application_BeginRequest(Object sender, EventArgs e)
{
//遍历Post参数,隐藏域除外
foreach(string i in this.Request.Form)
{
if(i==”__VIEWSTATE”)continue;
this.goErr(this.Request.Form.ToString());
}
//遍历Get参数。
foreach(string i in this.Request.QueryString)
{
this.goErr(this.Request.QueryString[i].ToString());
}
}

三,Global中的一个方法

///

/// 校验参数是否存在SQL字符
///

/// private void goErr(string tm)
{
if(WLCW.Extend.CValidity.SqlFilter2(tm))
this.Response.Redirect(“/error.html”);
}



本文固定链接: http://www.ntxz.net/?p=1240 | 周忞 | 吉心的记事本



该日志由 吉心 于2010年08月15日发表在 .NET, 网络摘编 分类下, 你可以发表评论
在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: ASP.NET阻止SQL注入 | 周忞 | 吉心的记事本
关键字: , ,

ASP.NET阻止SQL注入:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!