首先说明,因为项目原因,不能使用参数传参。现在需要向数据库加入的数据里含有单引号“'”(输入的是英文,难免有单引号),所有即要防止注入又要可输入单引号。请大家帮帮忙,先谢谢大家了啊!!!
解决方案 »
- NVelocity里怎么显示出dataset的数据???
- 怎么在WinForm中怎么实现与ASP.NET中AJAX的AutoCompleteExtender控件相同的效果
- repeater中的checkbox控件被选中后激发什么事件
- 第一个MVC应用程序
- 用户登录的窗口,怎么才可以将它永远固定在屏幕中央显示呢?
- 一个GridView中的简单问题求解!!!!
- 装dotnet前的升级组件装的就是mdac吗?
- 怎么样让时间在DataGrid中 不显示几点几分,只显示年月日!!!
- 如何显示在线多长时间//时间格式是 (分:秒) 注:其中秒是不停的走的 用C# or JavaScript 都可以
- 如何在WebForm中使用字体选择对话框
- MVC 链接地扯问题
- 如何设计东带的权限树
A=TEXTBOX.TEXT.REPLACE("'","''")
/// 字符过滤编码函数,在实际编程中,建议过滤后还应该使用参数构造sql语句
/// </summary>
/// <param name="value">输入字符串</param>
/// <returns></returns>
public static string StringEnCode(string value)
{
if (value.Trim().Length == 0)
return string.Empty;
value = value.Replace(((char)44).ToString(), ";");//;
value = value.Replace(((char)10).ToString(), "<br>");//br
value = value.Replace(((char)32).ToString(), " ");//空格
value = value.Replace(((char)37).ToString(), "%");//%
value = value.Replace(((char)39).ToString(), "'");//'
value = value.Replace(((char)44).ToString(), ",");//,
value = value.Replace(((char)60).ToString(), "<");//<
value = value.Replace(((char)62).ToString(), ">");//>
value = value.Replace(((char)92).ToString(), "\");//\\
value = value.Replace(((char)94).ToString(), "^");//^
value = value.Replace(((char)45).ToString() + ((char)45).ToString(), "--");//--
value = Regex.Replace(value, "<a href=", "<a target=_blank href=", RegexOptions.Compiled | RegexOptions.IgnoreCase);
Regex regex = new Regex("<a href=", RegexOptions.Compiled | RegexOptions.IgnoreCase);
value = regex.Replace(value, "<a target=_blank href=");
return value;
}
1. 传入参数有两种:int, string int型参数拼接:
string sql = "select * from table1 where id=" + int.Parse(Request["id"]); string型参数拼接:
string sql = "select * from table1 where name='" + Request["name"].Replace("'","''") + "'";
========
请问谁可以注入?
http://www.cnblogs.com/insus/articles/1424371.html
<EditItemTemplate>
<asp:TextBox ID="TextBox1" runat="server" Text='<%# Bind("Address") %>' Width="500px"></asp:TextBox>
</EditItemTemplate>
想在更新的时候把TextBox1中的内容,进行过滤(还是替换单引号)应该怎么写呢??