怎么调用存储过程防止SQL注入?急!
解决方案 »
- = -> : wrong?
- 请问C#类的问题
- 如何取的gridview中i行的值
- 大家帮我看看一个Response.Write的问题!
- 哪里有OA系统的详细需求说明?
- TextBox如何邦定数据库字段
- 奇怪的问题.请高手过来看看
- 我已在数据库中设计好了用户权限值,我该如何将它与webform关联呢?给一个思路吧?或者一段代码?感激不尽
- NET里两个double想加为啥是1.3+0.1=1.4000001?
- “System.Web.Profile.ProfileBase”不包含“ShoppingCart”的定义
- asp.net 如何调用vb6写的dll
- 点按钮,弹出一个窗口(window.open())?
///SQL注入过滤
/// </summary>
/// <param name="InText">要过滤的字符串</param>
/// <returns>如果参数存在不安全字符,则返回true</returns>
public static bool SqlFilter(string InText)
{
string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
if (InText == null)
return false;
foreach (string i in word.Split('|'))
{
if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1))
{
return true;
}
}
return false;
}
例如:
SqlCommand sqlcomm = new SqlCommand("存储过程名", myconn);
sqlcomm.CommandType = CommandType.StoredProcedure;SqlParameter parameterPN = new SqlParameter("@abc", SqlDbType.BigInt, 8);
parameterPN.Value = ...;
sqlcomm.Parameters.Add(parameterPN);
。