62,041
社区成员
发帖
与我相关
我的任务
分享写了一个防SQL注入的类,大家看看效果如何!
public sealed Class CleanString
{
public static string InputText(string inputString,int maxLength)
{
StringBuilder retVal=new StringBuilder();//构造临时字符串数组
if((inputString!=null)&&(inputString!=string.Empty))
//上面一句大家看看可否写成象下面这样?
//if(inputString.trim()!=null)
{
inputString=inputString.Trim();//去掉输入字符两端空格
if(inputString.Length>maxLength)//在前台显示一定的字符数
{
inputString.SubString(0,maxLegth);
}
for(int i=0;i<inputString.Length;i++)
{
switch(inputString[i])
{
case'"':retVal.Append(""");break;
case'<':retVal.Append("<");break;
case'>':retVal.Append(">");break;
default:retVal.Append(inputString[i]);break;
}
}
retVal.Replace(""," ");
}
return retVal.Tostring();
}
}
应用如下:
webForm上添一textBox1,textBox2
textBox2.text=CleanString.InputText(TextBox1.text,TextBox1.Text.Length)
在DB中应用如下:
string cmdText="insert into Employee(Company) values('"
+CleanString.InputText(textBox1.Text,textBox1.Text.Length)+"')";
...
sqlCommand myCommand=new SqlCommand(cmdText,myConnection);
myConnection.open();
myCommand.ExecuteNonQuery();
...
{
public static string InputText(string inputString,int maxLength)
{
StringBuilder retVal=new StringBuilder();//构造临时字符串数组
if((inputString!=null)&&(inputString!=string.Empty))
//上面一句大家看看可否写成象下面这样?
//if(inputString.trim()!=null)
{
inputString=inputString.Trim();//去掉输入字符两端空格
if(inputString.Length>maxLength)//在前台显示一定的字符数
{
inputString.SubString(0,maxLegth);
}
for(int i=0;i<inputString.Length;i++)
{
switch(inputString[i])
{
case'"':retVal.Append(""");break;
case'<':retVal.Append("<");break;
case'>':retVal.Append(">");break;
default:retVal.Append(inputString[i]);break;
}
}
retVal.Replace(""," ");
}
return retVal.Tostring();
}
}
应用如下:
webForm上添一textBox1,textBox2
textBox2.text=CleanString.InputText(TextBox1.text,TextBox1.Text.Length)
在DB中应用如下:
string cmdText="insert into Employee(Company) values('"
+CleanString.InputText(textBox1.Text,textBox1.Text.Length)+"')";
...
sqlCommand myCommand=new SqlCommand(cmdText,myConnection);
myConnection.open();
myCommand.ExecuteNonQuery();
...
...全文
请发表友善的回复…
发表回复
冷月孤峰 2005-06-27
- 打赏
- 举报
楼上说的正点:)
gxboy 2005-06-27
- 打赏
- 举报
数据库底层设计的烂,上层就要做N多事情。麻烦。
sykpboy 2005-06-27
- 打赏
- 举报
......
lovebanyi 2005-06-27
- 打赏
- 举报
没有必要吧,,在asp.net全部用参数感觉还可以的。
xiaomaolover 2005-06-27
- 打赏
- 举报
1.限制长度
2.过滤特殊字符
3.用parameter担交,
2.过滤特殊字符
3.用parameter担交,
fkphp 2005-06-27
- 打赏
- 举报
这是你写的吗?
不是petshop 3.0 里面的ClearString.Input...那个吗?
不是petshop 3.0 里面的ClearString.Input...那个吗?
teacher1998 2005-06-27
- 打赏
- 举报
还有哪里需要注意呢?
smile9961 2005-06-27
- 打赏
- 举报
顶
