登录界面常常会涉及到敏感关键字的注入

为了对应面试,再看一下

怎样防止注入,

可以过滤SQL需要参数中的敏感字符(忽略大小写)

public static string Split(string inputString) //防止SQL注入方法

{

inputString = inputString.Trim();

inputString = inputString.Replace("'","");

inputString = inputString.Replace(";--", "");

inputString = inputString.Replace("--", "");

inputString = inputString.Replace("=", "");

//and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|count|*|%|union 等待关键字过滤

//不要忘记为你的用户名框,密码框设定 允许输入的最多字符长度 maxlength的值哦,这样他们就无法编写太长的东西来再次拼成第一次过滤掉的关键字 如 oorr一次replace过滤后又成了 or 喔。

inputString = inputString.Replace("and", "");

inputString = inputString.Replace("exec", "");

inputString = inputString.Replace("insert", "");

inputString = inputString.Replace("select", "");

inputString = inputString.Replace("delete", "");

inputString = inputString.Replace("update", "");

inputString = inputString.Replace("chr", "");

inputString = inputString.Replace("mid", "");

inputString = inputString.Replace("master", "");

inputString = inputString.Replace("or", "");

inputString = inputString.Replace("truncate", "");

inputString = inputString.Replace("char", "");

inputString = inputString.Replace("declare", "");

inputString = inputString.Replace("join", "");

inputString = inputString.Replace("count", "");

inputString = inputString.Replace("*", "");

inputString = inputString.Replace("%", "");

inputString = inputString.Replace("union", "");

return inputString;

}
        #region 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用

        /// <summary>

        /// 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static string filterSQL(string text)

        {

            text = text.Replace("'", "''");

            text = text.Replace("{", "{");

            text = text.Replace("}", "}");

            return text;

        }

        #endregion
        #region 过滤SQL,将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')

        /// <summary>

        /// 将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static String GetQuotedString(String text)

        {

            return ("'" + filterSQL(text) + "'");

        }

        #endregion

防注入参数化过程实例:

        public static void Paramter(string getdataSql, string template, object parameters)

        {

            if (!string.IsNullOrEmpty(getdataSql))

            {

                CallContext.SetData(getdataSql, new KeyValuePair<string, object>(template, parameters));

            }

        }

        private long ExecuteScalar(string sql)

        {

            using (

               IDbConnection dbConnection =

                   new SqlConnection(_unitOfWork.DbConnectionString))

            {

                try

                {

                    dbConnection.Open();

                    var command = dbConnection.CreateCommand();

                    command.CommandText = sql;

                    command.CommandType = CommandType.Text;

                    object obj = command.ExecuteScalar();

                    long result = default(long);

                    if (null != obj)

                    {

                        result = Convert.ToInt64(obj);

                    }

                    return result;

                }

                finally

                {

                    dbConnection.Close();

                }

            }

        }

Sql server注入简单认识的更多相关文章

  1. SQL Server里简单参数化的痛苦

    在今天的文章里,我想谈下对于即席SQL语句(ad-hoc SQL statements),SQL Server使用的简单参数化(Simple Parameterization)的一些特性和副作用.首先 ...

  2. Sql server注入一些tips

    sql server环境测试: 几个特性: 1.sql server兼容性可以说是最差的. 举例: select x from y where id=1 字符串查询 select x from y w ...

  3. 第三篇——第二部分——第一文 SQL Server镜像简单介绍

    版权声明:本文为博主原创文章,未经博主同意不得转载. https://blog.csdn.net/DBA_Huangzj/article/details/26951563 原文出处:http://bl ...

  4. Perl/C#连接Oracle/SQL Server和简单操作

    连接数据库是一个很常见也很必须的操作.先将我用到的总结一下. 1. Perl 连接数据库 Perl 连接数据库的思路都是: 1)使用DBI模块: 2)创建数据库连接句柄dbh: 3)利用dbh创建语句 ...

  5. SQL Server注入

    1.利用错误消息提取信息 1.1 枚举当前表与列 --' 抛出错误:选择列表中的列 'users.id' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中. 发现表名为 'users',存 ...

  6. Hangfire实战(一)------Hangfire+SQL Server实现简单的任务调度

    Hangfire:一个开源的任务调度框架 开发环境:VS2017,SQL Server 2012,.NET Framework 4.5 项目类型:控制台应用程序 1.在vs的程序包控制台中为项目添加H ...

  7. Sql Server事务简单用法

    var conStr = "server=localhost;database=Data;user=sa;pwd=123456"; using (var connection = ...

  8. Sql Server Job 简单使用

    http://www.cnblogs.com/zerocc/p/3400529.html(转载) use msdb EXEC sp_add_job @job_name =   'tk_bakdata' ...

  9. springmvc+mybatis+sql server实现简单登录功能

    一.源码: 1.Users.java package com.login.entity; import java.io.Serializable; public class Users impleme ...

随机推荐

  1. Maven编译代码的相关命令

    第一.main目录下的主代码编写完毕后,使用Maven进行编译,在项目根目录下运行命令mvn clean compile进       行项目编译. 第二.test目录下的测试用例编写完毕之后就可以调 ...

  2. chrome插件开发-----------将网址转化成二维码website2QRcode

    微信自带的浏览器无法输入链接,仅仅能通过扫描二维码实现.可是有时候看到一个有趣的站点,想分享,还得先去将链接转化成二维码的站点.先转成二维码.再扫描.有点麻烦.所以写了一个插件.直接生成二维码. 须要 ...

  3. Effective JavaScript Item 51 在类数组对象上重用数组方法

    Array.prototype对象上的标准方法被设计为也能够在其他对象上重用 - 即使不是继承自Array的对象. 因此,在JavaScript中存折一些类数组对象(Array-like Object ...

  4. linux开发node相关的工具

    epel-release yum install epel-release node yum install nodejs mongodb 安装mongodb服务器端 yum install mong ...

  5. 嵌入式Linux开发

    嵌入式Linux的开发和研究是Linux领域研究的一个热点,目前已开发成功的嵌入式系统有一半以上都是Linux.Linux到底有什么优势,使之取得如此辉煌的成绩呢?本文分为两大部分:Linux的优点. ...

  6. iOS:切换视图时,反向传递数据方法一:通知

    通知方式: 1.有一个(单例)通知中心,负责管理iOS中的所有通知 2.需要获取某种通知,必须注册成为观察者(订阅) 3.不再需要取某种通知时,要取消注册. 4.你可以向通知中心发送某种通知,通知中心 ...

  7. 实现微信小程序的3rd_session

    function 3rd_session($len) { $fp = @fopen('/dev/urandom','rb'); $result = ''; if ($fp !== FALSE) { $ ...

  8. @Autowired注入了dao,为什么还要写getDao(){return userDao}这个方法?有什么作用?

    Autowired private UserDao userDao; @Override public BaseDao<User> getDao() { return userDao; } ...

  9. ambari 大数据安装利器

    https://www.ibm.com/developerworks/cn/opensource/os-cn-bigdata-ambari/

  10. 一致性哈希算法(Consistent Hashing) .

    应用场景 这里我先描述一个极其简单的业务场景:用4台Cache服务器缓存所有Object. 那么我将如何把一个Object映射至对应的Cache服务器呢?最简单的方法设置缓存规则:object.has ...