本文介绍了一种通过替换单引号来防止SQL注入的方法,并提供了一个简单的C#示例。但这种方法可能不足以防御所有类型的SQL注入攻击。
在添加内容时,输入单引号是要出错的。于是我把单引号转换成其它字符串,然后就达到不出错的目的了。但是对于注入来说,如果仅仅屏蔽了单引号还能不能用其它方法注入呢?
protected void Button1_Click(object sender, EventArgs e)
{
string strConn = ConfigurationManager.ConnectionStrings["seaConnectionString"].ConnectionString; SqlConnection con = new SqlConnection(strConn); string sql = "insert into news (NewsTitle,NewsContent) values ('" + n_check(this.TextBox1.Text) + "','" + n_check(this.TextBox2.Text) + "')"; SqlCommand cmd = new SqlCommand(sql, con); con.Open(); cmd.ExecuteNonQuery(); con.Close(); Response.Write("OK!");
} private string n_check(string llcbh) { llcbh = llcbh.Replace("'", "^llcbh^"); return llcbh; }
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
