ASP.NET的SQL注入过滤方法
我的字段是自由格式的文本,并且允许数字/符号的任意组合。验证这些以防止 SQL 注入的最佳方法是什么?我可以运行简单的刻度线替换吗?有没有一种方法可以插入使用?
I've got fields that are free-form text and allow just about any combination of numbers/symbols. What's the best way to validate these to prevent SQL Injection? Can I run a simple replace of tick marks? Is there a method out there I can plug in to use?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
只需使用参数化查询即可!在这里查看这篇文章: http://www.functionx.com/aspnet/sqlserver/参数化.htm
Just use parameterized queries! Check out this article here: http://www.functionx.com/aspnet/sqlserver/parameterized.htm
这里概述了多种方法:
如何:防止 ASP.NET 中的 SQL 注入
引用:
验证控件可以提供帮助,尽管它们是在服务器端而不是客户端运行。 ASP.NET 确实也内置了一些保护,但我不会单独依赖它。
There are various methods outlined here:
How To: Protect From SQL Injection in ASP.NET
quote:
Validation controls can help, though run them server side, not client side. ASP.NET does have some protection built in also, but I wouldn't rely on it alone.