是不是只能在执行存储过程之前替换掉敏感字符了?
解决方案 »
- 要泪奔了,折腾了好几个小时还搞不定这个artDialog.....
- 怎么删除上传的文件
- asp.net 传值问题
- 高分:请教个缓存问题
- 请问这个SQL操作该如何实现??
- luncene.net 检索PDF显示部分内容
- .aspx 网页打开后,为什么不能查看html源文件呢?(在线等!!!!)
- 引用路径问题,请高手、思归、孟子E章等高人指点!
- 怎么判断 RadioButtonList 被选中的值,谢谢
- 我将一个datagrid绑定到一个表(在程序中dataview实现),怎么让它隐藏关键字段的显示,而且能在删除记录的时候取到这个ID号。。谢谢
- 关于DateGridView控件自定义开发的问题
- asp.net 中如何实现左右型框架
我自己一直是这么写的,希望对你有启发
#region 过滤字符
/// <summary>
/// 具体情况来定要过滤的字符
/// </summary>
/// <param name="param">要过滤的字符</param>
public static string CheckSaftParam(string param)
{ param = param.Replace("net user", "");
param = param.Replace("xp_cmdshell", "");
param = param.Replace("/add", "");
param = param.Replace("exec%20master.dbo.xp_cmdshell", "");
param = param.Replace("net localgroup administrators", "");
param = param.Replace("select", "");
param = param.Replace("'", "''");
param = param.Replace("insert", "");
param = param.Replace("delete", "");
param = param.Replace("drop", "");
param = param.Replace("truncate", "");
param = param.Replace("from", "");
param = param.Replace("%", "");
param = param.Replace("%20", ""); return param;
}
#endregion
很多啊 比如关键字"detele","update","insert"
之类的
不是单指说我在文本框中输入',select,drop不报错就ok了
str = str.Replace(";","").Replace("*","").Replace("'","").Replace("&","").Replace(" ","").Replace("%20","").Replace("--","").Replace("==","").Replace("<","").Replace(">","").Replace("%","").Replace("nchar","").Replace("select","").Replace("update","").Replace("insert","").Replace("create","").Replace("drop","").Replace("delete","");