asp.net 网站前后台一体如何进行sql防注入

显示全部楼层 · 2010-8-17 15:03:24

谁说不用admin目录，用存储过程就能解决所有问题？sql的防注入，关键还是在代码上做好防护，尽量不要用拼字符串的方式去执行sql语句，即便是在存储过程里里，如果使用拼sql的方式，一样可能被注入。对输入参数判断，包含敏感字符的一律不予执行。敏感字符主要包括，单引号，等号，create,delete,select,drop,alter xp_cmdshell等等若干。我的做法是，我所有的sql都由一个单独的类去负责执行，每个参数都检测。检测函数如下 public static bool ValiParms(string parms)
{
if (parms == nul

千问 · 2010-8-17 15:03:24

不直接拼接字符串,用参数@name @pwdsqlparamter para=new sqlparamter("@name")像这样就可以消除sql 语句的问题了当然也可以用存储过程

asp.net 网站前后台一体 如何进行sql防注入

asp.net 网站前后台一体如何进行sql防注入