62,046
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
小伙写代码 2009-10-13
- 打赏
- 举报
str = str.Replace(";","").Replace("*","").Replace("'","").Replace("&","").Replace(" ","").Replace("%20","").Replace("--","").Replace("==","").Replace("<","").Replace(">","").Replace("%","").Replace("nchar","").Replace("select","").Replace("update","").Replace("insert","").Replace("create","").Replace("drop","").Replace("delete","");
SK_Aqi 2009-10-13
- 打赏
- 举报
[Quote=引用 12 楼 zrflkwow 的回复:]
引用 11 楼 sk_aqi 的回复:
应该替换很多,例如上面的
可我只要不输入单引号,输入其他任何关键字都不会出错啊。。。
[/Quote]
出错?怎么才能出错呢,就是人家比如在浏览器上注入的时候报错呢
不是单指说我在文本框中输入',select,drop不报错就ok了
引用 11 楼 sk_aqi 的回复:
应该替换很多,例如上面的
可我只要不输入单引号,输入其他任何关键字都不会出错啊。。。
[/Quote]
出错?怎么才能出错呢,就是人家比如在浏览器上注入的时候报错呢
不是单指说我在文本框中输入',select,drop不报错就ok了
zrflkwow 2009-10-13
- 打赏
- 举报
[Quote=引用 11 楼 sk_aqi 的回复:]
应该替换很多,例如上面的
[/Quote]
可我只要不输入单引号,输入其他任何关键字都不会出错啊。。。
应该替换很多,例如上面的
[/Quote]
可我只要不输入单引号,输入其他任何关键字都不会出错啊。。。
SK_Aqi 2009-10-13
- 打赏
- 举报
应该替换很多,例如上面的
zrflkwow 2009-10-13
- 打赏
- 举报
[Quote=引用 8 楼 chen_ya_ping 的回复:]
过滤了关键字以后,还可以建立一个DDL得触发器,这样的话对表或数据库的危险的操作都可以不让执行
[/Quote]
这里的触发器干嘛用的。。?谢谢
过滤了关键字以后,还可以建立一个DDL得触发器,这样的话对表或数据库的危险的操作都可以不让执行
[/Quote]
这里的触发器干嘛用的。。?谢谢
zrflkwow 2009-10-13
- 打赏
- 举报
[Quote=引用 7 楼 zzxap 的回复:]
replace一下单引号就行了
[/Quote]
哈哈。
我一直都是只替换单引号,也没有出过错,但是看到很多大侠都要替换掉很多敏感字符,搞的我有点儿不自信~~~~~~~
当真只替换单引号就OK了啊~?呵呵
replace一下单引号就行了
[/Quote]
哈哈。
我一直都是只替换单引号,也没有出过错,但是看到很多大侠都要替换掉很多敏感字符,搞的我有点儿不自信~~~~~~~
当真只替换单引号就OK了啊~?呵呵
chen_ya_ping 2009-10-13
- 打赏
- 举报
过滤了关键字以后,还可以建立一个DDL得触发器,这样的话对表或数据库的危险的操作都可以不让执行
zzxap 2009-10-13
- 打赏
- 举报
replace一下单引号就行了
zrflkwow 2009-10-13
- 打赏
- 举报
感谢几位。人工顶一下。
wxhysoftsodc 2009-10-13
- 打赏
- 举报
支持通用解决方案
f231358 2009-10-13
- 打赏
- 举报
[Quote=引用 2 楼 zrflkwow 的回复:]
引用 1 楼 randomfeel 的回复:
应该是的,可以用正则去替换
得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
[/Quote]
很多啊 比如关键字"detele","update","insert"
之类的
引用 1 楼 randomfeel 的回复:
应该是的,可以用正则去替换
得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
[/Quote]
很多啊 比如关键字"detele","update","insert"
之类的
hhh871030 2009-10-13
- 打赏
- 举报
我自己一直是这么写的,希望对你有启发
#region 过滤字符
/// <summary>
/// 具体情况来定要过滤的字符
/// </summary>
/// <param name="param">要过滤的字符</param>
public static string CheckSaftParam(string param)
{
param = param.Replace("net user", "");
param = param.Replace("xp_cmdshell", "");
param = param.Replace("/add", "");
param = param.Replace("exec%20master.dbo.xp_cmdshell", "");
param = param.Replace("net localgroup administrators", "");
param = param.Replace("select", "");
param = param.Replace("'", "''");
param = param.Replace("insert", "");
param = param.Replace("delete", "");
param = param.Replace("drop", "");
param = param.Replace("truncate", "");
param = param.Replace("from", "");
param = param.Replace("%", "");
param = param.Replace("%20", "");
return param;
}
#endregion
zrflkwow 2009-10-13
- 打赏
- 举报
[Quote=引用 1 楼 randomfeel 的回复:]
应该是的,可以用正则去替换
[/Quote]
得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
应该是的,可以用正则去替换
[/Quote]
得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
randomfeel 2009-10-13
- 打赏
- 举报
应该是的,可以用正则去替换
