调试易

在程序中过滤掉关键字
如果是用的SqlHelper,可以采用参数的形式

过滤到哪些关键字呀？我的@strWhere里面可能包含
... AND Name='Delete001' ...
这样的查询呀

        private string SqlReplace(string str)
        {
            str = str.Trim();
            str = str.Replace("'", "''");
            str = str.Replace("\"", "");
            str = str.Replace("%", "");
            str = str.Replace("--", "");
            str = str.Replace(";", "");
            str = str.Replace("(", "");
            str = str.Replace(")", "");
            str = str.Replace("_", "");
            return str;
        }

str = str.Replace("'", "''");
str = str.Replace("%", "");单引号,百分号不能取掉
因为可能包含... AND Name like '%Delete001%' ... 

/// <summary>
///SQL注入过滤
/// </summary>
/// <param name="InText">要过滤的字符串</param>
/// <returns>如果参数存在不安全字符，则返回true</returns>
public  bool SqlFilter(string InText)
{
string word="and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
if(InText==null)
return false;
foreach(string i in word.Split('|'))
{
if((InText.ToLower().IndexOf(i+" ")>-1)||(InText.ToLower().IndexOf(" "+i)>-1))
{
return true;
}
}
return false;
}

and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join
这些我们都不能去掉，因为我们要按用户名模糊查询，而用户名都可能包含以上关键字呀
我们的主要问题是的@strWhere里面可能包含  ... AND Name='Delete001'  AND Title like '%Update%' ...  或： 
... AND Name like '%Delete001%' ...   这样的查询， 请问我们要怎么做才能防止SQl注入，有没有具体的例子？

楼上的方法会把delete01或insert01还有sql查询语句中的or等过滤掉,不可取,对于传入的@strwhere参数里包含"companyname ='update01' or commpanyname ='delete01'"这样合法的语句将会不能正常执行

关键一句:if((InText.ToLower().IndexOf(i+" ")>-1)||(InText.ToLower().IndexOf(" "+i)>-1))
这里判断了每个关键字前后有没有空格,有空格肯定不能放在sql语句里面.
这个一般放在Global.asax.cs文件里面浏览器判断参数.

Global.asax.cs /// <summary>
/// 当有数据时交时，触发事件
/// </summary>
/// <param name="sender"></param>
/// <param name="e"></param>
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//遍历Post参数，隐藏域除外
foreach(string i in this.Request.Form)
{
if(i=="__VIEWSTATE")continue;
this.goErr(this.Request.Form[i].ToString());    
}
//遍历Get参数。
foreach(string i in this.Request.QueryString)
{
if(SqlFilter(this.Request.QueryString[i].ToString()));
                                   this.Response.Redirect("~/error.htm?mid=-110"); }

}        /// <summary>
        ///SQL注入过滤
        /// </summary>
        /// <param name="InText">要过滤的字符串</param>
        /// <returns>如果参数存在不安全字符，则返回true</returns>
        public  bool SqlFilter(string InText)
        {
            string word="and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
            if(InText==null)
                return false;
            foreach(string i in word.Split('|'))
            {
                if((InText.ToLower().IndexOf(i+" ")>-1)||(InText.ToLower().IndexOf(" "+i)>-1))
                {
                    return true;
                }
            }
            return false;
        }

这个方法不错，但是 and 和 OR 应该要能 允许出现？你看这有问题吗？

我也是参考网上的:
http://hi.baidu.com/simadi/blog/item/b9cc4e4a09a1002609f7ef9d.html其实根本的问题还在你那个通用存储过程,防注入涉及到代码的很多方面,不是改几处地方就可以完全杜决的.

最好是不要把拼接的sql传到过程中,只要是拼接的就有被注入的可能.

using System;
using System.Collections.Generic;
using System.Text;
using System.Text.RegularExpressions;namespace DataSecurity
{
    class DataSecurity
    {
        //参数中的非法字符串
        public static string tabooStr = "SELECT|INSERT|DELETE|UPDATE|AND|OR|EXEC|TRUNCATE|DECLARE|JOIN|=|%|'"; 
        
        /// <summary>
        /// 验证页面之间传递的参数是否有非法的字符串，以防止sql注入
        /// </summary>
        /// <param name="param">页面之间传递的参数</param>
        /// <returns>有返回true,否则返回false</returns>
        ///备注：在Global.aspx中的Request_Begin中调用此方法，如果有非法参数，转向错误页面
        /* Global.aspx的Request_Begin
         * 判断通过POST方式传递的所有参数： foreach(string param in this.Request.Form){ . . .}
         * 判断通过GET方式传递的所有参数：foreach(string param in this.Request.Query){ . . .}
         */
        public static bool ValidateSql(string param)
        {
            bool result = false;
            if (!string.IsNullOrEmpty(param))
            {
                foreach (string str in tabooStr.Split('|'))
                {
                    if (param.ToUpper().IndexOf(str) > -1)
                    {
                        result = true;
                        break;
                    }
                }
            }
            return result;
        }        /// <summary>
        /// 过滤掉页面之间传递参数中的非法字符串
        /// </summary>
        /// <param name="param">页面之间传递的参数</param>
        /// <returns>返回过滤后的字符串</returns>
        public static string FilterSql(string param) 
        {
            return Regex.Replace(param, tabooStr, "**", RegexOptions.IgnoreCase);
        }
    }
}特意为LZ写的代码，不知道是否有帮助其实这里给了两种思路，
第一种就是在Global.asax中设置（详细见第一个方法的注释），另外一种就是在每次获得上一页面传递的参数的时候调用FilterSql()方法，过滤掉有可能是Sql注入的参数

过滤关键字不行的！用户输入得数据你都把别人得改掉了，尤其是编辑器里面得数据！一般采用传参数得形式 没问题的，不要拼SQL！

这个问题的重点，不是在你分页过程里面过滤危险字符。
sql查询串在生成时，就要过滤（或者转义好）。  
提交给分页过程的时候，就已经确保了SQL的安全。除非是你将分页过程暴露给互联网任一用户。那基本也没有这种需求

过滤危险字符
使用sqlparmeter传值

LS的,只能说你所学甚少啊...
";"分号...可以执行两条SQL语句.
<script>可以跨站攻击.
类似的一大把....光过滤个单引号....我就希望看到这种网站.

@strWhere 如果这个里面有DELETE UPDATE INSERT MASTER这几个,直接把条件改为1<0

⑴ 某个ASP.NET Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。 ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子： System.Text.StringBuilder query = new System.Text.StringBuilder( SELECT * from Users WHERE login = ) .Append(txtLogin.Text).Append( AND password=) .Append(txtPassword.Text).Append(); ⑶ 攻击者在用户名字和密码输入框中输入或1=1之类的内容。 ⑷ 用户输入的内容提交给服务器之后，服务器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT * from Users WHERE login = or 1=1 AND password = or 1=1。 ⑸ 服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比。 ⑹ 由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。 如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。 系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表。 如何防范？ 好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。⑴ 对于动态构造SQL查询的场合，可以使用下面的技术： 第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”显然会得到与“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”不同的结果。 第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT * from Users WHERE login = mas -- AND password =”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。 第三：对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。 ⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。 ⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。 ⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。 在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过CustomValidator自己创建一个。 ⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个HashPasswordForStoringInConfigFile，非常适合于对输入数据进行消毒处理。 ⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理 

以上各位说的都有道理，但不是非常符合本系统的实际情况：
1.多个子系统传入各种复杂的查询条件：
  例如：当前有3个旧的子系统向我们提交查询，以后又会有几个新开发的子系统向提交查询2.对所有子系统的查询接口是统一的,一个通用的分页查询方法：
   例如：Pager(视图名称，页大小，页号，查询条件，排序条件)3.其中的查询条件是一个已经拼凑好的字符串，例如
“ Type=1 AND (Name LIKE '%Update01%' OR Title LIKE '%Delete02%') ” 
 而且里面的单引号、百分号等符号不能过滤掉，AND、OR、DELETE、UPDATE等关键字也不能过滤掉目前的主要问题是“查询条件”这个字符串存在SQL注入非常感谢大家的指教，同时期待更好的解决方案。

楼上们已经够详细了
Mark下~

实际上可以利用SQL Server中的REPLACE()函数在存储过程端处理掉
如：
SELECT @strWhere=REPLACE(@strWhere, '''', '/')

不应该在这个地方作防止sql注入的功能，这让代码混乱和不好理解，这个存储过程是你自己调用的，在参数可能被sql注入的地方作检查就可以了

过滤关键字可以防止一部分.
现在很多sql代码都是编码过的.

------------------------------------
--用途：支持任意排序的分页存储过程  
--说明：
------------------------------------
 
CREATE PROCEDURE UP_GetRecordByPageOrder
 
 @tblName varchar(255),   -- 表名 
 @fldName varchar(255),   -- 显示字段名 
 @OrderfldName varchar(255),  -- 排序字段名 
 @StatfldName varchar(255),  -- 统计字段名 
 @PageSize int = 10,   -- 页尺寸 
 @PageIndex int = 1,   -- 页码 
 @IsReCount bit = 0,   -- 返回记录总数, 非 0 值则返回 
 @OrderType bit = 0,   -- 设置排序类型, 非 0 值则降序 
 @strWhere varchar(1000) = ''  -- 查询条件 (注意: 不要加 where) 
AS 
 
 DECLARE @strSQL varchar(6000)  -- 主语句 
 DECLARE @strTmp varchar(100)   -- 临时变量 
 DECLARE @strOrder varchar(400)  -- 排序类型 
 
IF @OrderType != 0 
 BEGIN 
  SET @strTmp = '<(select min' 
  SET @strOrder = ' order by [' + @OrderfldName +'] desc' 
 END 
ELSE 
 BEGIN 
  SET @strTmp = '>(select max' 
  SET @strOrder = ' order by [' + @OrderfldName +'] asc' 
 END 
 
SET @strSQL = 'select top ' + str(@PageSize) + ' ' + @fldName + ' from [' 
 + @tblName + '] where [' + @OrderfldName + ']' + @strTmp + '([' 
 + @OrderfldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' [' 
 + @OrderfldName + '] from [' + @tblName + ']' + @strOrder + ') as tblTmp)' 
 + @strOrder 
 
IF @strWhere != '' 
 SET @strSQL = 'select top ' + str(@PageSize) + ' ' + @fldName + ' from [' 
 + @tblName + '] where [' + @OrderfldName + ']' + @strTmp + '([' 
 + @OrderfldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' [' 
 + @OrderfldName + '] from [' + @tblName + '] where ' + @strWhere + ' ' 
 + @strOrder + ') as tblTmp) and ' + @strWhere + ' ' + @strOrder 
 
IF @PageIndex = 1 
 BEGIN 
  SET @strTmp = '' 
  IF @strWhere != '' 
  SET @strTmp = ' where ' + @strWhere 
 
  SET @strSQL = 'select top ' + str(@PageSize) + ' ' + @fldName + ' from [' 
  + @tblName + ']' + @strTmp + ' ' + @strOrder 
 END 
 
 
IF @IsReCount != 0 
SET @strSQL = @strSQL+' select count(1) as Total from [' + @tblName + ']'
 
IF @strWhere!=''
SET @strSQL = @strSQL+' where ' + @strWhere
exec (@strSQL) 
 
 
 
GO

分页这个东西也弄的我头疼了，现在手头的一个项目数据量很大，必须采用SQL分页的方式，而网上能找到的所有通用分页存储过程都不能满足我的需求，像你说的一样，这个存储过程确实存在SQL注入的问题，我测试过了。
我目前还没有找到好的解决办法，只有采用了一个比较偏门的方法来避免这个问题。就是把分页SQL写在程序当中，不采用存储过程，然后查询条件可以采用SQLParameter传入，这样他会自动转义关键字，避免了存储过程拼接的SQL注入问题。不过效率有所下降，只能优化数据库索引，我测试的60W数据，最后10页的读取速度在1秒以内，暂时只能这样了。分页用的Top Top方式分页，配合ASPNETPager，排序主键设置成了一个时间戳，这样能将执行效率最大化，开始用的主键作为排序主键，效率相当低，直接超时了。