SQL injection 中文叫 資料隱碼攻擊 ,通常是因為網址所帶的參數,在前後端沒有好好驗證,就帶入執行的SQL而引發的嚴重危險,在.NET其實也有相對方便的參數化查詢可以用。但有時候用自己的框架想要初步的防止可以排除以下字元:
String injStr = "'|SELECT|AND|EXEC|INSERT|DELETE|UPDATE|COUNT|*|%|CHR|MID|MASTER|TRUNCATE|CHAR|DECLARE|;|OR|-|+|,|)|(|<|>|`|\""
C#可以用Split 這個 | 切成陣列,然後迴圈做判斷排除
文章標籤
全站熱搜
留言列表
