sql 注入过滤
0
悬赏园豆:15
[已解决问题]
解决于 2008-05-08 14:06
<P>用如下语句过滤</P>
<P>private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";<BR> private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";</P>
<P> public static bool CheckKeyWord(string sWord) <BR> {<BR> if (Regex.IsMatch(sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(sWord, StrRegex))<BR> return true;<BR> return false;<BR> }</P>
<P> </P>
<P>在页面中</P>
<P>if(CheckKeyWord(TextBox1.Text))</P>
<P>{</P>
<P>--包含非法字符<BR>}</P>
<P>else</P>
<P>{<BR>}</P>
<P> </P>
<P>时出错了</P>
<H2><I>正在分析“select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|"|or|and”- ) 不足。参数名: select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|"|or|and</I> </H2>
<P> </P>
最佳答案
0
兄弟,提示信息已经说得很清楚了哦——你的正则表达式写错了。
改成这个就可以了
@"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
原因:圆括号是正则表达式的一个特殊字符,要匹配它的话就需要转义。
That's it!
其他回答(4)
0
应该是里面的括号影响到了,试着把括号都转义了
如果只是防注入,把传过来的参数直接Replace(" ","")就能搞定
0
干吗不用SqlPramenter(可能拼写有误)~~~?还要自己做SQL过滤~~
0
不知道楼主做法为了什么,如果是初级安全问题,同意沙加的说法,还不如用SqlParameter(以改正了沙加的拼写错误)更好些!
0
存储过程流路过
