在csdn社区又见这样的帖子 asp.net里如何防 ‘or’=’or’ 在线等待~~ 什么是SQL注入这里就不多讲了网络上很多文章都对这个做了很深刻的讲解 个人认为防止SQL注入有以下三种方法1、过滤敏感字符2、在ASP.Net中使用SqlParameters3、用存储过程 过滤敏感字符这里的敏感字符是指单引‘在原来的ASP程序中,待执行的SQL语句一般都是经过”拼凑”而形成的 只需把一个单引替换成二个单引即‘=======>‘ ‘不需要像网上某些文章里说的替换Delete/Drop/Alter……诸如: ParaValue = replace(ParaValue,”‘”,”") ParaValue = replace(ParaValue,”select “,”") ParaValue = replace(ParaValue,”insert “,”") ParaValue = replace(ParaValue,”delete “,”") ParaValue = replace(ParaValue,”count(“,”") ParaValue = replace(ParaValue,”drop table “,”") ParaValue = replace(ParaValue,”update “,”") ParaValue = replace(ParaValue,”truncate “,”") ParaValue = replace(ParaValue,”asc(“,”") ParaValue = replace(ParaValue,”mid(“,”") ParaValue = replace(ParaValue,”char(“,”") ParaValue = replace(ParaValue,”xp_cmdshell”,”") ParaValue = replace(ParaValue,”exec [...]
Browsing the archives for the 注入 tag
