不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的危险,以下是C#防止SQL注入攻击的一个危险字符过滤函数,过滤掉相应的数据库关键字。

主要过滤两类字符:(1)一些SQL中的标点符号,如@,*以及单引号等等;(2)过滤数据库关键字select、insert、delete from、drop table、truncate、mid、delete、update、truncate、declare、master、script、exec、net user、drop等关键字或者关键词。

封装好的方法如下:

 public static string ReplaceSQLChar(string str)

        {

            if (str == String.Empty)

                return String.Empty;

            str = str.Replace("'", "");

            str = str.Replace(";", "");

            str = str.Replace(",", "");

            str = str.Replace("?", "");

            str = str.Replace("<", "");

            str = str.Replace(">", "");

            str = str.Replace("(", "");

            str = str.Replace(")", "");

            str = str.Replace("@", "");

            str = str.Replace("=", "");

            str = str.Replace("+", "");

            str = str.Replace("*", "");

            str = str.Replace("&", "");

            str = str.Replace("#", "");

            str = str.Replace("%", "");

            str = str.Replace("$", "");

            //删除与数据库相关的词

            str = Regex.Replace(str, "select", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "insert", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "delete from", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "count", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "drop table", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "truncate", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "asc", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "mid", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "char", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "xp_cmdshell", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "exec master", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "net localgroup administrators", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "and", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "net user", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "or", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "net", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "-", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "delete", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "drop", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "script", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "update", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "and", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "chr", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "master", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "truncate", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "declare", "", RegexOptions.IgnoreCase);

            str = Regex.Replace(str, "mid", "", RegexOptions.IgnoreCase);

            return str;

        }

备注:原文转载自C#防SQL注入过滤危险字符信息_IT技术小趣屋

博主个人技术交流群:960640092,博主微信公众号如下,可免费阅读云服务器运维知识。

C#编写的扫雷游戏源码(完整解决方案源码,可以直接编译运行):https://pan.baidu.com/s/1T4zVndyypzY9i9HsLiVtGg。提取码请关注博主公众号后,发送消息:扫雷源码。

【转载】C#防SQL注入过滤危险字符信息的更多相关文章

  1. php防sql注入过滤代码

    防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击. function filter($str) { if (empty($str)) return false; ...

  2. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  3. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

  4. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  5. PHP防SQL注入不要再用addslashes和mysql_real_escape_string

    PHP防SQL注入不要再用addslashes和mysql_real_escape_string了,有需要的朋友可以参考下. 博主热衷各种互联网技术,常啰嗦,时常伴有强迫症,常更新,觉得文章对你有帮助 ...

  6. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  7. PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO(PDO一是PHP数据对象(PHP Data Object)的缩写),可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_ ...

  8. sql注入过滤的公共方法

    /// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要过滤的字符串 ...

  9. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

随机推荐

  1. java解析json数据用到的jar包

    百度云连接: https://pan.baidu.com/s/1iuQCc7uBO5XtAsNn6hwCew

  2. 【repost】图解Javascript上下文与作用域

    本文尝试阐述Javascript中的上下文与作用域背后的机制,主要涉及到执行上下文(execution context).作用域链(scope chain).闭包(closure).this等概念. ...

  3. Java变成思想--多线程

    Executor :线程池 CatchedThreadPool:创建与所需数量相同的线程,在回收旧线程是停止创建新县城. FixedThreadPool:创建一定数量的线程,所有任务公用这些线程. S ...

  4. 背水一战 Windows 10 (95) - 选取器: 自定义文件保存选取器

    [源码下载] 背水一战 Windows 10 (95) - 选取器: 自定义文件保存选取器 作者:webabcd 介绍背水一战 Windows 10 之 选取器 自定义文件保存选取器 示例1.演示如何 ...

  5. 脑残式网络编程入门(五):每天都在用的Ping命令,它到底是什么?

    本文引用了公众号纯洁的微笑作者奎哥的技术文章,感谢原作者的分享. 1.前言   老于网络编程熟手来说,在测试和部署网络通信应用(比如IM聊天.实时音视频等)时,如果发现网络连接超时,第一时间想到的就是 ...

  6. C++ 基础知识回顾总结

    一.前言 为啥要写这篇博客?答:之前学习的C和C++相关的知识,早就被自己忘到一边去了.但是,随着音视频的学习的不断深入,和C/C++打交道的次数越来越多,看代码是没问题的,但是真到自己操刀去写一些代 ...

  7. MySQL InnoDB 行记录格式(ROW_FORMAT)

    MySQL InnoDB 行记录格式(ROW_FORMAT) 一.行记录格式的分类和介绍 在早期的InnoDB版本中,由于文件格式只有一种,因此不需要为此文件格式命名.随着InnoDB引擎的发展,开发 ...

  8. Pycharm永久激活方式

    1.首先下载pycharm破解包 http://idea.lanyus.com/ 2. 将下载的文件放入PyCharm安装bin目录下: 3.在pycharm.exe.vmoptions ,pycha ...

  9. 关于springmvc的helloworld的压测报告

    都说hello world 很简单,应该能承受很大的请求压力,那么到底有多大?你知道吗?如果知道,那咱们就不继续了.如果不知道,我们来看一下! 1. 准备工作,快速建立一个基于springmvc的he ...

  10. 简介 - SAFe(Scaled Agile Framework,规模化敏捷框架)

    简介 SAFe(Scaled Agile Framework,规模化敏捷框架) SAFe:https://www.scaledagileframework.com/ Scaled Agile Fram ...