【轉載】C#防SQL註入過濾危險字元信息

-Advertisement-

不過是java開發還是C#開發或者PHP的開發中，都需要關註SQL註入攻擊的安全性問題，為了保證客戶端提交過來的數據不會產生SQL註入的風險，我們需要對接收的數據進行危險字元過濾來防範SQL註入攻擊的危險，以下是C#防止SQL註入攻擊的一個危險字元過濾函數，過濾掉相應的資料庫關鍵字。主要過濾兩類字 ...

不過是java開發還是C#開發或者PHP的開發中，都需要關註SQL註入攻擊的安全性問題，為了保證客戶端提交過來的數據不會產生SQL註入的風險，我們需要對接收的數據進行危險字元過濾來防範SQL註入攻擊的危險，以下是C#防止SQL註入攻擊的一個危險字元過濾函數，過濾掉相應的資料庫關鍵字。

主要過濾兩類字元：（1）一些SQL中的標點符號，如@,*以及單引號等等；（2）過濾資料庫關鍵字select、insert、delete from、drop table、truncate、mid、delete、update、truncate、declare、master、script、exec、net user、drop等關鍵字或者關鍵詞。

封裝好的方法如下：

 public static string ReplaceSQLChar(string str)
        {
            if (str == String.Empty)
                return String.Empty;
            str = str.Replace("'", "");
            str = str.Replace(";", "");
            str = str.Replace(",", "");
            str = str.Replace("?", "");
            str = str.Replace("<", "");
            str = str.Replace(">", "");
            str = str.Replace("(", "");
            str = str.Replace(")", "");
            str = str.Replace("@", "");
            str = str.Replace("=", "");
            str = str.Replace("+", "");
            str = str.Replace("*", "");
            str = str.Replace("&", "");
            str = str.Replace("#", "");
            str = str.Replace("%", "");
            str = str.Replace("$", "");

            //刪除與資料庫相關的詞
            str = Regex.Replace(str, "select", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "insert", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "delete from", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "count", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "drop table", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "truncate", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "asc", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "mid", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "char", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "xp_cmdshell", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "exec master", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "net localgroup administrators", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "and", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "net user", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "or", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "net", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "-", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "delete", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "drop", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "script", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "update", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "and", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "chr", "", RegexOptions.IgnoreCase);    
            str = Regex.Replace(str, "master", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "truncate", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "declare", "", RegexOptions.IgnoreCase);
            str = Regex.Replace(str, "mid", "", RegexOptions.IgnoreCase);

            return str;
        }

備註：原文轉載自C#防SQL註入過濾危險字元信息_IT技術小趣屋。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

關於委托的一些知識

C#語言規範中提到： 1）委托是引用一個或多個方法的數據結構。對於實例方法，委托還可引用實例方法對應的對象實例。 2）在 C 或 C++ 中與委托最接近的是函數指針，但函數指針只能引用靜態函數，而委托則既可以引用靜態方法，也可以引用實例方法。在後一種情況中，委托不僅存儲了一個對該方法入口點的引用，還 ...
C#值類型和引用類型

結構（struct）、枚舉（enum）為值類型，類（class）、委托為引用類型 ...
演算法（第四版）C# 習題題解——3.1

寫在前面整個項目都托管在了 Github 上：查找更方便的版本見：這一節內容可能會用到的庫文件有 SymbolTable，同樣在 Github 上可以找到。善用 Ctrl + F 查找題目。習題&題解 3.1.1 題目編寫一段程式，創建一張符號表並建立字母成績和數值分數的對應關係，如下表 ...
ASP.NET MVC 主要的四種過濾器和三種具體實現類

4種常用過濾器（IAuthrorizationFilter、IActionFilter、IResultFilter、IExceptionFilter）和 3種具體實現類（AuthorizeAttribute、ActionFilterAttribute(Action + Result)、Handle ...
.NET Core / C# 開發 IOT 嵌入式設備的個人見解

( .NET Core 七龍珠 ) 一、IOT 平臺的支持先看國內優秀的雲計算IOT平臺(不含QQ互聯、小米IOT等針對特定產品的開發者平臺，僅列出部分雲計算廠商的IOT平臺) 阿裡雲 IOT https://iot.aliyun.com/ 華為物聯網 https://developer.huaw ...
VS2017記憶體占用高

我的環境和硬體參數說明：本篇所提到的方法在我的機器上經過設置是能明顯改善卡頓的，但可能你的VS卡頓的原因不一定是本文所提到的，可以通過排除法找到問題所在。我的環境和硬體參數： vs 2017 pro版本 win10 x64 pro版本 CPU：i5 6500 3.2GHZ ，沒有SSD，顯卡 1 ...
3.翻譯：EF基礎系列--EF怎麼工作的？

原文鏈接：http://www.entityframeworktutorial.net/basics/how-entity-framework-works.aspx 這裡，你將會大概瞭解到EF是怎麼工作的。 Entity Framework API(EF 6和EF Core)，可以將領域類映射到數據 ...
1.翻譯:EF基礎系列--什麼是Entity Framework？

大家好，好久不見，EF系列之前落下了，還是打算重新整理一下。先說說目前的打算：先簡單瞭解一下EF基礎系列-->然後就是EF 6 Code-First系列-->接著就是EF 6 DB-First系列-->最後就是EF Core系列的學習了。EF Model-First已經過時，被微軟拋棄，就不學了。 ...