如何过滤sql中的危险字符 求过滤掉输入的特殊、危险的字符的方法。如果可以写一点看看 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 可以替换之类的方法http://www.cnblogs.com/end/archive/2010/07/15/1778041.html 我只是给你一个“点”你自己了解、扪心自问一下所谓“过滤”的最普遍概念:在用户录入过程中,往往需要输入单引号。例如书名、人名、地点、自己写的文章,等等,怎么就不能输入单引号呢?此时如果有些人告诉说“需要过滤掉单引号”这就是扯淡的逻辑,是一种假借“SQL注入”这个概念来恐吓你的方法。因为如果你正常地写sql,那么用户录入的单引号文本(作为文本查询条件或者插入、修改的数据)应该正常使用,根本不会出现bug。既然不应该出现bug,那么也谈不上什么“SQL注入”问题。所谓的注入问题完全是在你根本不会写正确的sql语句的情况下才出现的,那是用你的sql语法简单错误来偷换成他们的概念。 软件设计中,需要配置一些用户录入模式。例如用户名中假设不允许录入分号(;),那么你就可以用一个测试用例来找到这个bug。类似的输入模式也是一样,你可以根据业务需求来定义检验用户录入内容的正则表达式,而如果没有这类业务规则,你就应该用一个通用的编程方式来保证测试其用户录入内容一定能够将单引号、分号、select之类的字符去正常输入数据库。 用sqlparameter参数化 对, 参数化就好了, 不要拼SQL, 将用户输入的东西拼进SQL就会有注入危险 很简单的处理。如果是参数是整型或数值型或日期型等,就用int.TryParse或decimal.TryParse去探一下输入的值是否正确如果是字符串,就直接将输入的单个单引号替换为两个单引号什么替换关键字符,尤其是那些替换Select/Insert/Update等单词为其他字符的,纯属瞎扯以讹传讹了。 sqlparameter参数化 调div宽度问题 我怎么调都不行看看代码 文件上传的问题!!在线等待 关于重写OnInit方法的问题!不胜感激! 如何实现动态树形菜单 GridView中的自动分页显示方式有多少种? 有没有人能SOS javascript里什么函数可以以四舍五入的方式保留小数点后两为的,round我试过好象是保留整数 JavaScirpt调用OpenOffice LINQ TO ENTITY 多表查询 小白求解答DataGrid1_ItemCreated和DataGrid1_ItemDataBound的作用 asp.net的表单查询验证 有没有办法整体控制按钮点击事件啊?
http://www.cnblogs.com/end/archive/2010/07/15/1778041.html
什么替换关键字符,尤其是那些替换Select/Insert/Update等单词为其他字符的,纯属瞎扯以讹传讹了。