最直接的办法,就是在提交事件中不验证后台提交的数据protected void Application_BeginRequest(Object sender, EventArgs e)
{
if(this.Request.Url.ToString().IndexOf("http://www.xxxxxxx.com/admin/")==-1)
{
SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();
}
}
{
if(this.Request.Url.ToString().IndexOf("http://www.xxxxxxx.com/admin/")==-1)
{
SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();
}
}
解决方案 »
- 使用TabContainer后,在aspx页添加控件,designer.cs不生成相应代码,aspx.cs页无法访问控件,怎么回事呢?
- js中keydown和blur冲突的问题
- 两个项目怎么集成在一起
- KindEditor 上传图片问题
- 如何在TreeView显示节点的提示呢?
- 为什么杀不掉aspnet_wp.exe的进程呢?是什么原因。在二台电脑上,有一台上可以杀掉aspnet_wp.exe的进程
- (100分)关于IIS不能启动
- ip地址段的比较
- 菜鸟求助!分少不要嫌弃!
- WebUI高手们,请问如何才能将winForm嵌入到Asp.net页面中使用,就像Web.PB那样?
- C#属性头部中括号问题
- 从一家小公司跳到大公司,从满怀希望到失落
那要如何做安全呢?
你连SQL参数这个东西都不知道……
其实很简单, 不要拼接sql, 用上参数就好了。
那要如何做安全呢?
你连SQL参数这个东西都不知道……
其实很简单, 不要拼接sql, 用上参数就好了。我都用的参数,然后提交到存储过程来执行的。
那要如何做安全呢?
你连SQL参数这个东西都不知道……
其实很简单, 不要拼接sql, 用上参数就好了。我都用的参数,然后提交到存储过程来执行的。用了参数, 还怕什么SQL注入??!!
这个工具类有点坑爹 建议楼主舍弃
防止SQL注入一般参数化查询可防止大部分SQL注入方式
请问,还有那些是可能导致的呢,我目前都是参数化了。
比如 你提交一个参数 var str = "DROP TABLE XXX";
然后用一个查询: var sql = "sp_execsql @str";
这样就不能防止。