特殊字符所需的验证

Question

我们的 ASP.NET 应用程序中有用户创建功能。这将在数​​据库中为新用户创建一个条目，并在 Active Directory 中创建一个新帐户。可以使用应用程序中的其他功能来搜索所有现有用户。

目前只允许输入英文字母和数字进行用户创建。然而，客户也想输入特殊字符。当我们尝试时，我们发现了以下两个问题。

1) 当仅使用特殊字符创建用户时，会引发错误

2) 当通过输入 % 搜索时（仅查看名称中包含 @ 的用户），将返回所有用户。

您能否列出其他可能的问题，以便我们可以形成所需的验证（例如不应允许使用％）。

注意：“英文字母和数字”以外的任何字符都被视为特殊字符。

DECLARE @CharacterVal VARCHAR(10)
SET @CharacterVal = '%'

SELECT * FROM USerDetails WHERE First_Name LIKE @CharacterVal

谢谢利乔

​

Answer 1

就 Active-Directory 而言，这篇 Microsoft 文章 描述了以下字符：登录名中不允许使用以下内容：

" / \ [ ] : ; | = , + * ? < >

Answer 2

如果您认真考虑安全性，请不要通过黑名单来执行此操作。获取客户想要的字符列表，然后仅将这些字符列入白名单。

Answer 3

(1) 特殊字符是一个更广泛的问题 - 您可能需要转换输入：
http://support.microsoft.com/kb/232580

(2) 可以使用所有字符在sql server中使用转义子句：
从表 WHERE 中选择列
列 LIKE '%\@%' ESCAPE '\'