c#和asp.net防止SQL注入过滤方法

小渣渣

我用asp.net来做演示，嘿嘿

前台代码：

1. <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="sqltest.aspx.cs" Inherits="TestWeb.sqltest" %>
   
2. 
   
3. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   
4. 
   
5. <html xmlns="http://www.w3.org/1999/xhtml">
   
6. <head runat="server">
   
7.     <title></title>
   
8. </head>
   
9. <body>
   
10.     <form id="form1" runat="server">
    
11.     <div>
    
12.         <asp:TextBox ID="txtsql" runat="server"></asp:TextBox>
    
13.         <asp:Button ID="btnsql" runat="server" Text="注入" onclick="btnsql_Click" />
    
14.     </div>
    
15.     </form>
    
16. </body>
    
17. </html>
    

复制代码

后台代码：

1. using System;
   
2. using System.Collections.Generic;
   
3. using System.Linq;
   
4. using System.Web;
   
5. using System.Web.UI;
   
6. using System.Web.UI.WebControls;
   
7. 
   
8. namespace TestWeb
   
9. {
   
10.     public partial class sqltest : System.Web.UI.Page
    
11.     {
    
12.         protected void Page_Load(object sender, EventArgs e)
    
13.         {
    
14. 
    
15.         }
    
16. 
    
17.         protected void btnsql_Click(object sender, EventArgs e)
    
18.         {
    
19.             
    
20.             if (zhuru.ProcessSqlStr(txtsql.Text))
    
21.             {
    
22.                 Response.Write("安全");
    
23.             }
    
24.             else {
    
25.                 Response.Write("危险");
    
26.             }
    
27.         }
    
28.     }
    
29. }

复制代码

zhuru.cs类代码：

1. using System;
   
2. using System.Collections.Generic;
   
3. using System.Linq;
   
4. using System.Web;
   
5. using System.Text.RegularExpressions;
   
6. 
   
7. namespace TestWeb
   
8. {
   
9.     public class zhuru
   
10.     {
    
11.         
    
12.         public static bool ProcessSqlStr(string inputString)
    
13.         {
    
14.             string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";
    
15.             try
    
16.             {
    
17.                 if ((inputString != null) && (inputString != String.Empty))
    
18.                 {
    
19.                     string str_Regex = @"\b(" + SqlStr + @")\b";
    
20. 
    
21.                     Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);
    
22.                     //string s = Regex.Match(inputString).Value;
    
23.                     if (true == Regex.IsMatch(inputString))
    
24.                         return false;
    
25. 
    
26.                 }
    
27.             }
    
28.             catch
    
29.             {
    
30.                 return false;
    
31.             }
    
32.             return true;
    
33.         }
    
34. 
    
35.     }
    
36. }

复制代码

小渣渣

Java 动态拼接 SQL 语句防止数据库注入
https://www.itsvse.com/thread-10249-1-1.html

pdang

学习下