易截截图软件、单文件、免安装、纯绿色、仅160KB

如果存储过程是拼的SQL,那么要防止注入,怎么办?

是不是只能在执行存储过程之前替换掉敏感字符了?
应该是的,可以用正则去替换
引用
应该是的,可以用正则去替换


得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
C# code:

我自己一直是这么写的,希望对你有启发
#region 过滤字符
/// <summary>
/// 具体情况来定要过滤的字符
/// </summary>
/// <param name="param">要过滤的字符</param>
public static string CheckSaftParam(string param)
{

param = param.Replace("net user", "");
param = param.Replace("xp_cmdshell", "");
param = param.Replace("/add", "");
param = param.Replace("exec%20master.dbo.xp_cmdshell", "");
param = param.Replace("net localgroup administrators", "");
param = param.Replace("select", "");
param = param.Replace("'", "''");
param = param.Replace("insert", "");
param = param.Replace("delete", "");
param = param.Replace("drop", "");
param = param.Replace("truncate", "");


相关问答:

如何实现SQL Server报表定时输出

现在需要在SQL Server实现定时报表输出的功能,
例如在每天的12点生成当天的报表,并输出到Excel或其它格式的文件中。
我调查了一下,说SQL Server 报表服务有这个功能,但是没用过报表服务,不知如何实现,请 ......

SQL语句问题

考勤表fty_grzl(mem_id  员工ID,adate  日期,type 类型,a1-a6  打卡时间,jb 基本工时,ot 加班工时,cdd 迟到次数,ztd 早退次数,cdt 迟到时间,ztt 早退时间)
type:N 年假,W 正常班,J ......

sql两列合并显示?

查询结果集:
ps  online  totle
a    0      10
b    1      11
c    5        8
想显示成这样 ......

求sql触发器语句

users表
name  companyId  companyName


company表
companyId  companyName
1          a公司
2          b公司
......

问题:通过sql 枚举sqlserver 上建立的链接服务器列表

问题是这样的,
我的本地sqlserver 2000 服务器上,建立了多个远程链接服务器,
请问,我如何通过 sql语句,或者其他的方法枚举 这些链接服务器呢?(通过企业管理器我是知道的,
我要的是能通过编程枚举到 ......
© 2009 ej38.com All Rights Reserved. 关于E健网联系我们 | 站点地图 | 赣ICP备09004571号