62,046
社区成员
发帖
与我相关
我的任务
分享sql 过滤问题
为了防止注入,需要对用户输入的一些字符进行过滤.
但是又不想过滤掉英文中的"delete ","update ",因为这些应该是用户可能需要输入的.请问有什么好的过滤办法没有?
但是又不想过滤掉英文中的"delete ","update ",因为这些应该是用户可能需要输入的.请问有什么好的过滤办法没有?
...全文
请发表友善的回复…
发表回复
Love_My 2007-11-01
- 打赏
- 举报
存储过程是比较好的一种办法 ~`
sunlovesea 2007-10-31
- 打赏
- 举报
为什么不用存储过程~~~
aminggu532 2007-10-31
- 打赏
- 举报
mark!
stray2010 2007-10-31
- 打赏
- 举报
传递参数或存储过程
chuxue1342 2007-10-30
- 打赏
- 举报
用存儲過程!
SaintKaKa 2007-10-30
- 打赏
- 举报
把用户输入的内容对引号进行屏蔽(例如用js在前台屏蔽)
symbol441 2007-10-30
- 打赏
- 举报
不采用拼接字符串的方式拼接SQL
用传递参数方式或者是存储过程执行SQL
然后对输入项首先进行过滤,这里有一个简单的过滤函数,LZ可以参考下
其具体问题具体分析,你可以就此修改其过滤函数从而满足你的需求哈
用传递参数方式或者是存储过程执行SQL
然后对输入项首先进行过滤,这里有一个简单的过滤函数,LZ可以参考下
public static string CleanString(string inputString)
{
StringBuilder retVal = new StringBuilder();
if ((inputString != null) && (inputString != String.Empty))
{
inputString = inputString.Trim();
for (int i = 0; i < inputString.Length; i++)
{
switch (inputString[i])
{
case '"':
retVal.Append(""");
break;
case '<':
retVal.Append("<");
break;
case '>':
retVal.Append(">");
break;
default:
retVal.Append(inputString[i]);
break;
}
}
retVal.Replace("'", " ");
}
return retVal.ToString();
}
其具体问题具体分析,你可以就此修改其过滤函数从而满足你的需求哈
