欢迎来到Doc100.Net免费学习资源知识分享平台!
您的位置:首页 > 程序异常 >

sql 拼凑 防止注入

更新时间: 2014-01-05 02:07:04 责任编辑: Author_N1

 

sql 拼接 防止注入

1  尽量用统一替换,好处很多

//创建insert语句
private List<string> GetInsertSqlFromListPA_SD(List<PA_SD> list)
{
	List<string> sqlList = new List<string>();
	string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product,materdesc,prdsize,qty,subprddesc) 
								Values({0},{1},{2},{3},{4},{5},{6},{7},{8}) ";
	foreach (PA_SD obj in list)
	{
		sqlList.Add(string.Format(strSQL,
						SqlParamFomat(obj.DNDH),
						SqlParamFomat(obj.pono),
						obj.itemno,
						SqlParamFomat(obj.style),
						SqlParamFomat(obj.product),
						SqlParamFomat(obj.materdesc),
						SqlParamFomat(obj.prdsize),
						obj.qty,
						SqlParamFomat(obj.subprddesc)
			));

	}
	return sqlList;
}

private string SPF(string str)
{
	return SqlParamFomat(string str);
}

//格式化sql语句的参数,在最外面添加分号
//例如 exec spLogin @UserID={0}  可以用本函数替换{0}
private string SqlParamFomat(string str)
{
	if (null != str)
	{
		string tmp = str.Replace("'", "''");
		return "'" + tmp + "'";
	}
	else
	{
		return "null";
	}
}

private string SPFNW(string str)
{
	return SqlParamFomatNoWrap(string str);
}

//格式化sql语句的参数,没有添加最外面的分号
//例如String sql = "exec spLogin @UserID='" + SPFNW(userID) + "'";  
private string SqlParamFomatNoWrap(string str)
{
	if (null != str)
	{
		string tmp = str.Replace("'", "''");
		return tmp;
	}
	else
	{
		return "";
	}
}



2 如果必须用string+string来拼接sql我们要对每个参数进行处理
a 字符串参数必须调用SqlParamFomat()函数格式化
b 数字类型的必须检查传入的参数是数字的,才能拼接到sql中
c 日期类型,必须传入日期类型的参数,再在代码中转换为日期字符串拼接到sql中
d 布尔型,必须传入布尔型参数,再在代码中转换为1或0拼接到sql,或直接拼接
中心思想就是,拼接sql前,要保证传入的数据类型跟参数一致, 再处理好字符型的参数
因为只有字符型的参数能被注入

上一篇:上一篇
下一篇:下一篇

 

随机推荐程序问答结果

 

 

如对文章有任何疑问请提交到问题反馈,或者您对内容不满意,请您反馈给我们DOC100.NET论坛发贴求解。
DOC100.NET资源网,机器学习分类整理更新日期::2014-01-05 02:07:04
如需转载,请注明文章出处和来源网址:http://www.doc100.net/bugs/t/5810/
本文WWW.DOC100.NET DOC100.NET版权所有。