登录界面常常会涉及到敏感关键字的注入

为了对应面试,再看一下

怎样防止注入,

可以过滤SQL需要参数中的敏感字符(忽略大小写)

public static string Split(string inputString) //防止SQL注入方法

{

inputString = inputString.Trim();

inputString = inputString.Replace("'","");

inputString = inputString.Replace(";--", "");

inputString = inputString.Replace("--", "");

inputString = inputString.Replace("=", "");

//and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|count|*|%|union 等待关键字过滤

//不要忘记为你的用户名框,密码框设定 允许输入的最多字符长度 maxlength的值哦,这样他们就无法编写太长的东西来再次拼成第一次过滤掉的关键字 如 oorr一次replace过滤后又成了 or 喔。

inputString = inputString.Replace("and", "");

inputString = inputString.Replace("exec", "");

inputString = inputString.Replace("insert", "");

inputString = inputString.Replace("select", "");

inputString = inputString.Replace("delete", "");

inputString = inputString.Replace("update", "");

inputString = inputString.Replace("chr", "");

inputString = inputString.Replace("mid", "");

inputString = inputString.Replace("master", "");

inputString = inputString.Replace("or", "");

inputString = inputString.Replace("truncate", "");

inputString = inputString.Replace("char", "");

inputString = inputString.Replace("declare", "");

inputString = inputString.Replace("join", "");

inputString = inputString.Replace("count", "");

inputString = inputString.Replace("*", "");

inputString = inputString.Replace("%", "");

inputString = inputString.Replace("union", "");

return inputString;

}
        #region 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用

        /// <summary>

        /// 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static string filterSQL(string text)

        {

            text = text.Replace("'", "''");

            text = text.Replace("{", "{");

            text = text.Replace("}", "}");

            return text;

        }

        #endregion
        #region 过滤SQL,将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')

        /// <summary>

        /// 将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static String GetQuotedString(String text)

        {

            return ("'" + filterSQL(text) + "'");

        }

        #endregion

防注入参数化过程实例:

        public static void Paramter(string getdataSql, string template, object parameters)

        {

            if (!string.IsNullOrEmpty(getdataSql))

            {

                CallContext.SetData(getdataSql, new KeyValuePair<string, object>(template, parameters));

            }

        }

        private long ExecuteScalar(string sql)

        {

            using (

               IDbConnection dbConnection =

                   new SqlConnection(_unitOfWork.DbConnectionString))

            {

                try

                {

                    dbConnection.Open();

                    var command = dbConnection.CreateCommand();

                    command.CommandText = sql;

                    command.CommandType = CommandType.Text;

                    object obj = command.ExecuteScalar();

                    long result = default(long);

                    if (null != obj)

                    {

                        result = Convert.ToInt64(obj);

                    }

                    return result;

                }

                finally

                {

                    dbConnection.Close();

                }

            }

        }

Sql server注入简单认识的更多相关文章

  1. SQL Server里简单参数化的痛苦

    在今天的文章里,我想谈下对于即席SQL语句(ad-hoc SQL statements),SQL Server使用的简单参数化(Simple Parameterization)的一些特性和副作用.首先 ...

  2. Sql server注入一些tips

    sql server环境测试: 几个特性: 1.sql server兼容性可以说是最差的. 举例: select x from y where id=1 字符串查询 select x from y w ...

  3. 第三篇——第二部分——第一文 SQL Server镜像简单介绍

    版权声明:本文为博主原创文章,未经博主同意不得转载. https://blog.csdn.net/DBA_Huangzj/article/details/26951563 原文出处:http://bl ...

  4. Perl/C#连接Oracle/SQL Server和简单操作

    连接数据库是一个很常见也很必须的操作.先将我用到的总结一下. 1. Perl 连接数据库 Perl 连接数据库的思路都是: 1)使用DBI模块: 2)创建数据库连接句柄dbh: 3)利用dbh创建语句 ...

  5. SQL Server注入

    1.利用错误消息提取信息 1.1 枚举当前表与列 --' 抛出错误:选择列表中的列 'users.id' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中. 发现表名为 'users',存 ...

  6. Hangfire实战(一)------Hangfire+SQL Server实现简单的任务调度

    Hangfire:一个开源的任务调度框架 开发环境:VS2017,SQL Server 2012,.NET Framework 4.5 项目类型:控制台应用程序 1.在vs的程序包控制台中为项目添加H ...

  7. Sql Server事务简单用法

    var conStr = "server=localhost;database=Data;user=sa;pwd=123456"; using (var connection = ...

  8. Sql Server Job 简单使用

    http://www.cnblogs.com/zerocc/p/3400529.html(转载) use msdb EXEC sp_add_job @job_name =   'tk_bakdata' ...

  9. springmvc+mybatis+sql server实现简单登录功能

    一.源码: 1.Users.java package com.login.entity; import java.io.Serializable; public class Users impleme ...

随机推荐

  1. Cocos2d-x 水果忍者划痕效果

    网上找的一个关于水果忍者划痕的,效果还算凑合.其原理就是基于OpenGL绘制直线,因为版本号过老,此处笔者改动了一些方法,粘贴后可直接使用 适用于Cocos2d-x 2.2.1 .h文件里须要添�的代 ...

  2. 为11gR2 Grid Infrastructure增加新的public网络

    在某些环境下,运行11.2版本的RAC数据库的服务器上,连接了多个public网络,那么就会有如下的需求: 给其他的,或者说是新的public网络增加新的VIP地址. 在新的public网络上增加SC ...

  3. Starling 2D框架简介(一)

    本系列是对Introducing Starling pdf的翻译,下文是对adobe开发人员中心的一片日志的转载,地址为http://www.adobe.com/cn/devnet/flashplay ...

  4. bootstrap设计站点中加入�代码高亮插件

    这款插件的名字叫做google-code-prettify 使用该插件之前的效果: 使用插件之后的效果: 接下来说步骤: (1)下载两个文件 http://codecloud.sinaapp.com/ ...

  5. Visual Studio 2012连接TFS2010登录不了

    一直用VS2012+TFS2010开发项目, 最近几天忽然很不正常, 在VS中会频繁要求输入TFS的账号密码, 经常要输入很多遍才可以正常连接签入签出. 这几天更甚, 基本上直接连接不了了. 网上找到 ...

  6. 用JavaScript修改Canvas图片的分辨率(DPI)

    应用场景: 仓库每次发货需要打印标签, Canvas根据从数据库读取的产品信息可以生成标签JPG, 但是这个JPG图片的默认分辨率(DPI)是72 这个DPI太低, 导致打印出来的图片会很模糊. 修改 ...

  7. [Gradle] Gradle 简介

    Gradle 是以 Groovy 语言为基础,面向Java应用为主.基于DSL(领域特定语言)语法的自动化构建工具. Ø gradle对多工程的构建支持很出色,工程依赖是gradle的第一公民. Ø ...

  8. nib 加载过程分析以及对File’s Owner的理解

    nib loading的过程,这个是app文档里面有说到资源编程指南 1.  It loads the contents of the nib file and any referenced reso ...

  9. Spring+Mybatis+SpringMVC后台与前台分页展示实例(附工程)

    林炳文Evankaka原创作品.转载请注明出处http://blog.csdn.net/evankaka 摘要:本文实现了一个后台由Spring+Mybatis+SpringMVC组成,分页采用Pag ...

  10. SQL用例集锦

    SQL 语句分类 DDL - 数据定义语句 (CREATE,ALTER,DROP,DECLARE) DML - 数据操纵语句 (SELECT,DELETE,UPDATE,INSERT) DCL - 数 ...