关于asp.net中防SQL的注入的问题!! 刚学asp.net,用的是简单的三层架构开发,如何在asp.net(C#)防SQL注入,请各位大侠帮忙,给出相应代码(如何操作),谢谢!在线等...... 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 1.使用参数化的sql,不要用字符串拼接sql2.对输入进行过滤,去掉关键字,不过这种方法很容易错杀一千。 a.Replace("'","'");a.Replace(""",""");a.Replace("<","<");挺多的. // 检查字符串是否全为数字public static bool IsNum(string Str){ bool blResult = true; if (Str == "") blResult = false; else { foreach (char Char in Str) { if (!Char.IsNumber(Char)) { blResult = false; break; } } if (blResult) if (int.Parse(Str) == 0) blResult = false; } return blResult;}应用:string Topicid = Request.QueryString["Topicid"];if (!IsNum(Topicid)) Server.Transfer("Error.aspx?ErrID=404");二.如果参数为文本.// Html转换public static string htmlstr(string chr){ if(chr==null) return ""; chr=chr.Replace("<","<"); chr=chr.Replace(">",">"); chr=chr.Replace("\n","<br>"); chr=chr.Replace("\"","""); chr=chr.Replace("'","'"); chr=chr.Replace(" "," "); chr=chr.Replace("\r",""); return(chr); }应用:string strClass = htmlstr(Request.QueryString["ClassName"]); 使用參數或者用存儲過程,不要用字符串拼sql語句 这些代码如何加到项目中去,就是加到什么位置,有没相关代码放到web.config中的吗?谢谢! 使用參數或者用存儲過程,不要用字符串拼sql語句?我是用的存储过程啊 怎么捕捉mediaplayer播放结束事件? 如何在网页中显示视频? 安装上vs2005后,提示下面信息,是怎么一回事呀? 谁给个WIN 7 下的IIS发布流程。 你们谁有c#写的关于数字证书的源码,例如:实现网上交易时,需要安装安全证书。。。 图片按钮如何实现鼠标经过时增加边框,离开时恢复,按下时改变颜色,谢谢! 插入并进入下一步的问题 datagrid的OnEditCommand事件中的确认对话框的问题 请问:我想把IE的工具条啊,菜单啊都屏蔽掉,该怎么做? 大神来帮忙看下正则 通过DataSet读取xml文件的问题 如何动态刷新GridView中的数据?比如说每三分钟刷新一次。
2.对输入进行过滤,去掉关键字,不过这种方法很容易错杀一千。
a.Replace(""",""");
a.Replace("<","<");
挺多的.
public static bool IsNum(string Str)
{
bool blResult = true;
if (Str == "")
blResult = false;
else
{
foreach (char Char in Str)
{
if (!Char.IsNumber(Char))
{
blResult = false;
break;
}
}
if (blResult)
if (int.Parse(Str) == 0)
blResult = false;
}
return blResult;
}
应用:
string Topicid = Request.QueryString["Topicid"];
if (!IsNum(Topicid))
Server.Transfer("Error.aspx?ErrID=404");
二.如果参数为文本.
// Html转换
public static string htmlstr(string chr)
{
if(chr==null)
return "";
chr=chr.Replace("<","<");
chr=chr.Replace(">",">");
chr=chr.Replace("\n","<br>");
chr=chr.Replace("\"",""");
chr=chr.Replace("'","'");
chr=chr.Replace(" "," ");
chr=chr.Replace("\r","");
return(chr);
}
应用:string strClass = htmlstr(Request.QueryString["ClassName"]);
我是用的存储过程啊