登录界面常常会涉及到敏感关键字的注入

为了对应面试,再看一下

怎样防止注入,

可以过滤SQL需要参数中的敏感字符(忽略大小写)

public static string Split(string inputString) //防止SQL注入方法

{

inputString = inputString.Trim();

inputString = inputString.Replace("'","");

inputString = inputString.Replace(";--", "");

inputString = inputString.Replace("--", "");

inputString = inputString.Replace("=", "");

//and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|count|*|%|union 等待关键字过滤

//不要忘记为你的用户名框,密码框设定 允许输入的最多字符长度 maxlength的值哦,这样他们就无法编写太长的东西来再次拼成第一次过滤掉的关键字 如 oorr一次replace过滤后又成了 or 喔。

inputString = inputString.Replace("and", "");

inputString = inputString.Replace("exec", "");

inputString = inputString.Replace("insert", "");

inputString = inputString.Replace("select", "");

inputString = inputString.Replace("delete", "");

inputString = inputString.Replace("update", "");

inputString = inputString.Replace("chr", "");

inputString = inputString.Replace("mid", "");

inputString = inputString.Replace("master", "");

inputString = inputString.Replace("or", "");

inputString = inputString.Replace("truncate", "");

inputString = inputString.Replace("char", "");

inputString = inputString.Replace("declare", "");

inputString = inputString.Replace("join", "");

inputString = inputString.Replace("count", "");

inputString = inputString.Replace("*", "");

inputString = inputString.Replace("%", "");

inputString = inputString.Replace("union", "");

return inputString;

}
        #region 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用

        /// <summary>

        /// 过滤SQL,所有涉及到输入的用户直接输入的地方都要使用。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static string filterSQL(string text)

        {

            text = text.Replace("'", "''");

            text = text.Replace("{", "{");

            text = text.Replace("}", "}");

            return text;

        }

        #endregion
        #region 过滤SQL,将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')

        /// <summary>

        /// 将SQL字符串里面的(')转换成(''),再在字符串的两边加上(')。

        /// </summary>

        /// <param name="text">输入内容</param>

        /// <returns>过滤后的文本</returns>

        public static String GetQuotedString(String text)

        {

            return ("'" + filterSQL(text) + "'");

        }

        #endregion

防注入参数化过程实例:

        public static void Paramter(string getdataSql, string template, object parameters)

        {

            if (!string.IsNullOrEmpty(getdataSql))

            {

                CallContext.SetData(getdataSql, new KeyValuePair<string, object>(template, parameters));

            }

        }

        private long ExecuteScalar(string sql)

        {

            using (

               IDbConnection dbConnection =

                   new SqlConnection(_unitOfWork.DbConnectionString))

            {

                try

                {

                    dbConnection.Open();

                    var command = dbConnection.CreateCommand();

                    command.CommandText = sql;

                    command.CommandType = CommandType.Text;

                    object obj = command.ExecuteScalar();

                    long result = default(long);

                    if (null != obj)

                    {

                        result = Convert.ToInt64(obj);

                    }

                    return result;

                }

                finally

                {

                    dbConnection.Close();

                }

            }

        }

Sql server注入简单认识的更多相关文章

  1. SQL Server里简单参数化的痛苦

    在今天的文章里,我想谈下对于即席SQL语句(ad-hoc SQL statements),SQL Server使用的简单参数化(Simple Parameterization)的一些特性和副作用.首先 ...

  2. Sql server注入一些tips

    sql server环境测试: 几个特性: 1.sql server兼容性可以说是最差的. 举例: select x from y where id=1 字符串查询 select x from y w ...

  3. 第三篇——第二部分——第一文 SQL Server镜像简单介绍

    版权声明:本文为博主原创文章,未经博主同意不得转载. https://blog.csdn.net/DBA_Huangzj/article/details/26951563 原文出处:http://bl ...

  4. Perl/C#连接Oracle/SQL Server和简单操作

    连接数据库是一个很常见也很必须的操作.先将我用到的总结一下. 1. Perl 连接数据库 Perl 连接数据库的思路都是: 1)使用DBI模块: 2)创建数据库连接句柄dbh: 3)利用dbh创建语句 ...

  5. SQL Server注入

    1.利用错误消息提取信息 1.1 枚举当前表与列 --' 抛出错误:选择列表中的列 'users.id' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中. 发现表名为 'users',存 ...

  6. Hangfire实战(一)------Hangfire+SQL Server实现简单的任务调度

    Hangfire:一个开源的任务调度框架 开发环境:VS2017,SQL Server 2012,.NET Framework 4.5 项目类型:控制台应用程序 1.在vs的程序包控制台中为项目添加H ...

  7. Sql Server事务简单用法

    var conStr = "server=localhost;database=Data;user=sa;pwd=123456"; using (var connection = ...

  8. Sql Server Job 简单使用

    http://www.cnblogs.com/zerocc/p/3400529.html(转载) use msdb EXEC sp_add_job @job_name =   'tk_bakdata' ...

  9. springmvc+mybatis+sql server实现简单登录功能

    一.源码: 1.Users.java package com.login.entity; import java.io.Serializable; public class Users impleme ...

随机推荐

  1. mysql字符串比较

    select '123'B is TRUE;  1 SET @a='123';            select '123'is TRUE;      0 select cast('222' as ...

  2. java string(2)

    1. indexOf()函数是一个执行速度非常快的函数,可以用其与subString()实现高效的字符串分割,比内置的要高效. 2. charAt()方法也是高效率的函数,可以用其实现高效的start ...

  3. 怎样解决MySQL数据库主从复制延迟的问题

    像Facebook.开心001.人人网.优酷.豆瓣.淘宝等高流量.高并发的网站,单点数据库很难支撑得住,WEB2.0类型的网站中使用MySQL的居多,要么用MySQL自带的MySQL NDB Clus ...

  4. TeX系列: MATLAB和LaTeX结合绘图

    目的是在MATLAB中绘图,在LaTeX中利用PGFPlots实现对图的修饰,比如坐标系.坐标轴标记.标题等等.这样能够保证图的中标记与正文文本的一致性,同时又可利用MATLAB强大的数据处理和丰富的 ...

  5. django:MySQL Strict Mode is not set for database connection 'default'

    ?: (mysql.W002) MySQL Strict Mode is not set for database connection 'default'        HINT: MySQL's ...

  6. 复习原生ajax

    function ajax(url, fnSucc, fnFaild) { //1.创建 if(window.XMLHttpRequest) { var oAjax=new XMLHttpReques ...

  7. HTML-获取/修改html页面标题

    作为一个标准的HTML文档,网页标题(title)是必不可少的属性.随着浏览器的发展,我们又多了一种访问和修改文档的方式:DOM.所以我们获取网页标题的方式大致可分为以下两种: 通过document对 ...

  8. 根据WSDL文件生成代理类

    D:\Program Files\Microsoft Visual Studio 10.0\VC>wsdl  /l:c#  /n:cmsserver  /out:E:\ospsoft\Trave ...

  9. rtsp摘要认证协议(Response计算方法)

    rtsp摘要认证协议(Response计算方法) 说明: 例如:OPTIONS rtsp://192.168.123.158:554/11RTSP/1.0   RTSP客户端应该使用username ...

  10. Decorator Pattern (装饰者模式)

    装饰者模式( Decorator Pattern ) 意图 : 动态的给一个对象添加一些额外的功能,IO这块内容体现出了装饰模式,Decorator模式相比生成子类更为灵活. 角色 : 1)抽象构件角 ...