SQL字符串过滤 检测是否有危险字符

来源：互联网   发布日期：2016-03-01 13:18:53   浏览：3199次  

一个C# SQL数据库字串操作函数，可实现对SQL字符串过滤、检测SQL是否有危险字符、修正sql语句中的转义字符，确保SQL不被注入：

SQL字符串过滤函数：

01public static bool ProcessSqlStr(string Str)

02{

03 bool ReturnValue = true;

04 try

05 {

06 if (Str.Trim() != "")

07 {

08 string SqlStr="exec|insert+|select+|delete|update|count|chr|mid|master+

|truncate|char|declare|drop+|drop+table|creat+

|create|*|iframe|script|";

09 SqlStr+="exec+|insert|delete+|update+|count(|count+|chr+|+mid

(|+mid+|+master+|truncate+|char+|

+char(|declare+|drop+table|creat+table";

10 string[] anySqlStr = SqlStr.Split('|');

11 foreach (string ss in anySqlStr)

12 {

13 if (Str.ToLower().IndexOf(ss) >= 0)

14 {

15 ReturnValue = false;

16 break;

17 }

18 }

19 }

20 }

21 catch

22 {

23 ReturnValue = false;

24 }

25 return ReturnValue;

26}

以下是检测SQL语句中是否包含有非法危险的字符：

view sourceprint?01///

02/// 检测是否有Sql危险字符

03///

04/// 要判断字符串

05/// 判断结果

06public static bool IsSafeSqlString(string str)

07{

08 return !Regex.IsMatch(str,@"[-|;|,|\/|\(|\)|\[|\]|\}|\{|%|@|\*|!|\']");

09}

10///

11/// 改正sql语句中的转义字符

12///

13public static string mashSQL(string str)

14{

15 string str2;

16 if (str == null)

17 {

18 str2 = "";

19 }

20 else

21 {

22 str = str.Replace("\'", "'");

23 str2 = str;

24 }

25 return str2;

26}

赞助本站