登录界面常常会涉及到敏感关键字的注入

为了对应面试,再看一下

怎样防止注入,

可以过滤SQL需要参数中的敏感字符(忽略大小写)

public static string Split(string inputString) //防止SQL注入方法

{

inputString = inputString.Trim();

inputString = inputString.Replace("'","");

inputString = inputString.Replace(";--", "");

inputString = inputString.Replace("--", "");

inputString = inputString.Replace("=", "");

//and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|count|*|%|union 等待关键字过滤

//不要忘记为你的用户名框,密码框设定 允许输入的最多字符长度 maxlength的值哦,这样他们就无法编写太长的东西来再次拼成第一次过滤掉的关键字 如 oorr一次replace过滤后又成了 or 喔。

inputString = inputString.Replace("and", "");

inputString = inputString.Replace("exec", "");

inputString = inputString.Replace("insert", "");

inputString = inputString.Replace("select", "");

inputString = inputString.Replace("delete", "");

inputString = inputString.Replace("update", "");

inputString = inputString.Replace("chr", "");

inputString = inputString.Replace("mid", "");

inputString = inputString.Replace("master", "");

inputString = inputString.Replace("or", "");

inputString = inputString.Replace("truncate", "");

inputString = inputString.Replace("char", "");

inputString = inputString.Replace("declare", "");

inputString = inputString.Replace("join", "");

inputString = inputString.Replace("count", "");

inputString = inputString.Replace("*", "");

inputString = inputString.Replace("%", "");

inputString = inputString.Replace("union", "");

return inputString;

}
        #region 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用

        /// <summary>

        /// 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static string filterSQL(string text)

        {

            text = text.Replace("'", "''");

            text = text.Replace("{", "{");

            text = text.Replace("}", "}");

            return text;

        }

        #endregion
        #region 过滤SQL,将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')

        /// <summary>

        /// 将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static String GetQuotedString(String text)

        {

            return ("'" + filterSQL(text) + "'");

        }

        #endregion

防注入参数化过程实例:

        public static void Paramter(string getdataSql, string template, object parameters)

        {

            if (!string.IsNullOrEmpty(getdataSql))

            {

                CallContext.SetData(getdataSql, new KeyValuePair<string, object>(template, parameters));

            }

        }

        private long ExecuteScalar(string sql)

        {

            using (

               IDbConnection dbConnection =

                   new SqlConnection(_unitOfWork.DbConnectionString))

            {

                try

                {

                    dbConnection.Open();

                    var command = dbConnection.CreateCommand();

                    command.CommandText = sql;

                    command.CommandType = CommandType.Text;

                    object obj = command.ExecuteScalar();

                    long result = default(long);

                    if (null != obj)

                    {

                        result = Convert.ToInt64(obj);

                    }

                    return result;

                }

                finally

                {

                    dbConnection.Close();

                }

            }

        }

Sql server注入简单认识的更多相关文章

  1. SQL Server里简单参数化的痛苦

    在今天的文章里,我想谈下对于即席SQL语句(ad-hoc SQL statements),SQL Server使用的简单参数化(Simple Parameterization)的一些特性和副作用.首先 ...

  2. Sql server注入一些tips

    sql server环境测试: 几个特性: 1.sql server兼容性可以说是最差的. 举例: select x from y where id=1 字符串查询 select x from y w ...

  3. 第三篇——第二部分——第一文 SQL Server镜像简单介绍

    版权声明:本文为博主原创文章,未经博主同意不得转载. https://blog.csdn.net/DBA_Huangzj/article/details/26951563 原文出处:http://bl ...

  4. Perl/C#连接Oracle/SQL Server和简单操作

    连接数据库是一个很常见也很必须的操作.先将我用到的总结一下. 1. Perl 连接数据库 Perl 连接数据库的思路都是: 1)使用DBI模块: 2)创建数据库连接句柄dbh: 3)利用dbh创建语句 ...

  5. SQL Server注入

    1.利用错误消息提取信息 1.1 枚举当前表与列 --' 抛出错误:选择列表中的列 'users.id' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中. 发现表名为 'users',存 ...

  6. Hangfire实战(一)------Hangfire+SQL Server实现简单的任务调度

    Hangfire:一个开源的任务调度框架 开发环境:VS2017,SQL Server 2012,.NET Framework 4.5 项目类型:控制台应用程序 1.在vs的程序包控制台中为项目添加H ...

  7. Sql Server事务简单用法

    var conStr = "server=localhost;database=Data;user=sa;pwd=123456"; using (var connection = ...

  8. Sql Server Job 简单使用

    http://www.cnblogs.com/zerocc/p/3400529.html(转载) use msdb EXEC sp_add_job @job_name =   'tk_bakdata' ...

  9. springmvc+mybatis+sql server实现简单登录功能

    一.源码: 1.Users.java package com.login.entity; import java.io.Serializable; public class Users impleme ...

随机推荐

  1. Apache服务器和tomcat服务器有什么区别?

    Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的 Web服务器运行.Apache是Web服务器而Tomcat是Java应用服务器. ...

  2. MySQL MERGE存储引擎 简介

    MERGE存储引擎把一组MyISAM数据表当做一个逻辑单元来对待,让我们可以同时对他们进行查询.构成一个MERGE数据表结构的各成员MyISAM数据表必须具有完全一样的结构.每一个成员数据表的数据列必 ...

  3. 使用cwrsync做服务器文件夹同步

    首先要下载cwRsync的服务端和客户端软件(4.05免费版),下载地址如下: https://www.itefix.no/i2/cwrsync 具体的配置过程和遇到的问题可参考: http://ww ...

  4. 【java】java工具类StringUtils,org.apache.commons.lang3.StringUtils

    使用过程中,发现StringUtils工具类功能非常的多. 例如,判断元素是否为数字: StringUtils.isNumeric(string)

  5. FAQ:枚举和常规的值,到底哪种更符合程序使用?

    问: 枚举和常规的值,到底哪种更符合程序使用? 答: 肯定是根据不同的场景,做出不同的选择. 如果是不同的值需要不同的逻辑,肯定是枚举好一些.如果只是表示某个取值范围且这个范围会动态变化,用常规的值 ...

  6. 仿LOL项目开发第一天

    ---恢复内容开始--- 仿LOL项目开发第一天 by---草帽 项目源码研究群:539117825 最近看了一个类似LOL的源码,颇有心得,所以今天呢,我们就来自己开发一个类似于LOL的游戏demo ...

  7. Neo4j 使用cypher语言进行查询

    Neo4j是一个Java开发的图数据库,它将结构化数据存储在网络(从数学角度叫做图)上而不是表中.相对于关系数据库来说,图数据库善于处理大量复杂.互连接.低结构化的数据,这些数据变化迅速,需要频繁的查 ...

  8. Android onConfigurationChanged 不执行

    自从Android 3.2(API 13),screen size也开始跟着设备的横竖切换而改变. 所以,在AndroidManifest.xml里设置的MiniSdkVersion和 TargetS ...

  9. 运行Hadoop的示例程序WordCount-Running Hadoop Example

      In the last post we've installed Hadoop 2.2.0 on Ubuntu. Now we'll see how to launch an example ma ...

  10. vim/vi的文件内、跨文件复制粘贴操作、替换操作

    vi/vim 中可以使用 :s 命令来替换字符串 1.s/vivian/sky/ 替换当前行第一个 vivian 为 sky 2.:s/vivian/sky/g 替换当前行所有 vivian 为 sk ...