ASP.NET的SQL注入过滤方法

发布于 2024-08-13 19:11:21 字数 87 浏览 6 评论 0原文

我的字段是自由格式的文本,并且允许数字/符号的任意组合。验证这些以防止 SQL 注入的最佳方法是什么?我可以运行简单的刻度线替换吗?有没有一种方法可以插入使用?

I've got fields that are free-form text and allow just about any combination of numbers/symbols. What's the best way to validate these to prevent SQL Injection? Can I run a simple replace of tick marks? Is there a method out there I can plug in to use?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

旧情勿念 2024-08-20 19:11:21

只需使用参数化查询即可!在这里查看这篇文章: http://www.functionx.com/aspnet/sqlserver/参数化.htm

Just use parameterized queries! Check out this article here: http://www.functionx.com/aspnet/sqlserver/parameterized.htm

赢得她心 2024-08-20 19:11:21

这里概述了多种方法:
如何:防止 ASP.NET 中的 SQL 注入

引用:

对策包括使用可接受的字符列表来限制输入、使用参数化 SQL 进行数据访问以及使用在数据库中具有受限权限的最低特权帐户。建议使用带有参数化 SQL 的存储过程,因为 SQL 参数是类型安全的。类型安全 SQL 参数也可以与动态 SQL 一起使用。在无法使用参数化 SQL 的情况下,请考虑使用字符转义技术。

验证控件可以提供帮助,尽管它们是在服务器端而不是客户端运行。 ASP.NET 确实也内置了一些保护,但我不会单独依赖它。

There are various methods outlined here:
How To: Protect From SQL Injection in ASP.NET

quote:

Countermeasures include using a list of acceptable characters to constrain input, using parameterized SQL for data access, and using a least privileged account that has restricted permissions in the database. Using stored procedures with parameterized SQL is the recommended approach because SQL parameters are type safe. Type-safe SQL parameters can also be used with dynamic SQL. In situations where parameterized SQL cannot be used, consider using character escaping techniques.

Validation controls can help, though run them server side, not client side. ASP.NET does have some protection built in also, but I wouldn't rely on it alone.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文