以下sql注入,怎么解决?asp.net

发布网友发布时间：2022-04-07 22:05

共3个回答

热心网友时间：2022-04-07 23:34

public String mmjc(String Req)
{
String Fy_Url, value = "0";
Fy_Url = Req;
if (Fy_Url.IndexOf("'") > -1 || Fy_Url.IndexOf("and") > -1 || Fy_Url.IndexOf("select") > -1 || Fy_Url.IndexOf("update") > -1 || Fy_Url.IndexOf("chr") > -1 || Fy_Url.IndexOf(";") > -1 || Fy_Url.IndexOf("insert") > -1 || Fy_Url.IndexOf("mid") > -1 || Fy_Url.IndexOf("master.") > -1 || Fy_Url.IndexOf("count(") > -1 || Fy_Url.IndexOf("drop table") > -1 || Fy_Url.IndexOf("truncate") > -1 || Fy_Url.IndexOf("asc(") > -1 || Fy_Url.IndexOf("xp_cmdshell") > -1 || Fy_Url.IndexOf("exec master") > -1 || Fy_Url.IndexOf("netlocalgroup administrators") > -1 || Fy_Url.IndexOf("net user") > -1 || Fy_Url.IndexOf("or") > -1 || Fy_Url.IndexOf("and") > -1)
{
value = "1";
}
return value;
}

热心网友时间：2022-04-08 00:52

1. 取出你需要的参数，判断是否有特殊字符

2. 然后从数据库中去除用户名的密码，使用程序进行判断，而不是用sql语句进行判断

热心网友时间：2022-04-08 02:27

不管什么sql注入，你不要自己拼字符串，用参数化查询就能避免。