C# SQL查询防注入,对于特殊字符的处理

酒已不醉 2015-05-25 05:03:09
在写程序的时候,需要用户输入一个名称,然后到数据库内检索数据,比如输入test,程序就会向数据库内检索,select * from t where columnName like '%test';但是如果test为%的话,就会检索出所有的数据。这样会有安全性问题。而且或者用户输入了test'的话,引号会不匹配,导致查询失败。请问下有什么方法,保证查询成功吗?
...全文
698 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
Tiger_Zhao 2015-05-25
  • 打赏
  • 举报
 回复
如果数据不会出现特殊字符,直接去掉。
如果允许出现特殊字符,两边加方括号。
where columnName like '%[%]'

where columnName like '%test[']'
酒已不醉 2015-05-25
  • 打赏
  • 举报
 回复
谢谢 回复!
SQL Server查询中的特殊字符处理C#代码)
SQL Server查询中的特殊字符处理C#代码)
C#SQL注入代码的三种方法
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全... C#SQL注入方法一  在Web.config文件中
SQL注入攻击与
SQL注入是Internet上最危险、最有名的安全漏洞之一,本书是目前唯一一本专门致力于讲解SQL威胁的图书。本书作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的基本编码和升级维护进行全面跟踪,详细...
C#实现过滤sql特殊字符的方法集合
本文实例讲述了C#实现过滤sql特殊字符的方法集合。分享给大家供大家参考,具体如下: 1. /// /// 过滤不安全的字符串 /// /// <param name=Str></param> /// <returns></returns> public static string ...
C#使用带like的sql语句时sql注入的方法
主要介绍了C#使用带like的sql语句时sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,sql注入,需要的朋友可以参考下
应用实例

27,580

社区成员

68,556

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server 应用实例
社区管理员
  • 应用实例社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章