检测ADO.net拼接字符串中非法字符

最新推荐文章于 2020-12-24 18:39:54 发布
最新推荐文章于 2020-12-24 18:39:54 发布
阅读量90 收藏
点赞数
原文链接:http://www.cnblogs.com/zhshlimi/p/5066019.html
版权

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Reflection;
using System.Reflection.Emit;
namespace SaftSQL
{
public class SetterWrapper<TTarget, TValue>
{
private Action<TTarget, TValue> _setter;
public SetterWrapper(PropertyInfo propInfo)
{
if (propInfo == null)
throw new ArgumentNullException("propertyInfo");
if (!propInfo.CanWrite)
throw new NotSupportedException("属性是只读或Private Setter");
MethodInfo setMethod = propInfo.GetSetMethod(true);
_setter = (Action<TTarget, TValue>)Delegate.CreateDelegate(typeof(Action<TTarget, TValue>), null, setMethod);
}
public void SetValue(TTarget target, TValue val)
{
if (_setter != null)
{
_setter(target, val);
}
}
}
public class GetterWrapper<TTarget, TValue>
{
private Func<TTarget, TValue> _getter;
public GetterWrapper(PropertyInfo propInfo)
{
if (propInfo == null)
throw new ArgumentNullException("propertyInfo");
if (!propInfo.CanRead)
throw new NotSupportedException("属性是不可读或Private Getter");
MethodInfo getMethod = propInfo.GetGetMethod(true);
_getter = (Func<TTarget, TValue>)Delegate.CreateDelegate(typeof(Func<TTarget, TValue>), null, getMethod);
}
public TValue GetValue(TTarget target)
{
if (_getter != null)
{
return _getter(target);
}
return default(TValue);
}
}
public abstract class BaseQueryFilter
{
public void SafeSubmit<T>() where T : BaseQueryFilter
{
PropertyInfo[] propInfoArr = this.GetType().GetProperties();
foreach (var propInfo in propInfoArr)
{
if (propInfo.PropertyType == typeof(System.String))
{
GetterWrapper<T, string> getter = new GetterWrapper<T, string>(propInfo);
string val = getter.GetValue(this as T);
if (string.IsNullOrEmpty(val)) continue;
if (val.IndexOf("'") > -1)
{
SetterWrapper<T, string> setter = new SetterWrapper<T, string>(propInfo);
setter.SetValue(this as T, val.Replace("'", "''"));

}

}
}
}
}
}

 

用法:

class OrderFilter

{

public string ClientPhone{get;set;}

public string ClientName{get;set;}
}

 

void Main()

{

OrderFilter orderFilter = new OrderFilter()
{
ClientName="'123"
};

orderFilter.SafeSubmit();
}

转载于:https://www.cnblogs.com/zhshlimi/p/5066019.html

aiji7208
关注
.net面试题(精选60题)
微微的猪食小窝
10-28 633
任何集合类都实现了IEnumerable接口,所以任何集合类对象都有一个GetEnumerator()方法,该方法可以返回一个实现了 IEnumerator接口的对象,这个返回的IEnumerator对象既不是集合类对象,也不是集合的元素类对象,它是一个独立的类对象。Server.Transfer 是服务器请求资源,服务器直接访问目标地址的 URL,把那个 URL 的响应 内容读取过来, 然后把这些内容再发给浏览器, 浏览器根本不知道服务器发送的内容是从哪 儿来的,所以它的地址栏还是原来的地址。
用.NET 做的学生查询系统
05-26
SqlConnection conn = new SqlConnection("连接字符串"); // 打开连接 conn.Open(); // 创建SQL查询 string query = "SELECT * FROM Students WHERE ID = @id"; // 创建SqlCommand对象 SqlCommand cmd = new ...
黑马程序员--ado.net使用通配符过滤
lisiyizu的专栏
12-02 442
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------   在dao.net我们通常都是使用到通配符过滤来进行查询数据,用到的是单字符匹配和多字符匹配。 通配符过滤使用的是like。   单字符匹配的通配符为半下划线"_",表示它能匹配单个的任意字符。            例如
二、ADO.NET 查询(连接式连接数据库)
weixin_45406160的博客
12-03 692
1.C#的StringBuilder类(字符串增强类) 【应用一】字符串拼接 StringBuilder str = new StringBuilder("ABC");//三个操作在同一块内存 str.Append("DEF"); str.Append("G"); str.Insert(5, "-K-"); str.Insert(str.Length, "$"); Console.WriteLine(str.ToString()); str.Remove(str.Length - 2,
ADO.NET笔记——SQL注入攻击
weixin_33919950的博客
03-20 81
相关知识: 可以通过字符串拼接来构造一个SQL命令字符串,但是SQL命令字符串拼接确是造成“SQL注入攻击”的重要原因。 考虑下列例子:从ProductCategory表检索出Name为“Bikes”的类别信息。(示例数据库采用红皮书的数据库:AdventureWorks_WroxSSRS2012) 如果要凭借字符串,将写成: string name = "Bik...
如鹏网.Net基础2 ADO.Net专题课
weixin_30528371的博客
03-03 100
第 1 节 类型初始值设定异常和SqlParameter   常见错误:   1.连接字符串name和代码不一致错误;   2.SqlParameter对象不可以重复使用(在使用SqlParameter的时候就“随new随用”);     ------------------------------------------------第 2 节 “需要参数但未提供该参数”和bit的值...
.Net面试宝典
weixin_37722075的博客
04-24 2055
.Net面试宝典 1、简述 private、 protected、 public、 internal 修饰符的访问权限。 private : 私有成员, 在类的内部才可以访问。. protected : 保护成员,该类内部和继承类可以访问。 public : 公共成员,完全公开,没有访问限制。 internal: 当前程序集内可以访问。 2、ADO.NET的五个主要对象 Connection:...
.Net学习总结
Abrahaml的博客
12-24 1489
第1阶段WEB前端A:HTML&CSS基础 1.前端页面有哪三层构成,分别是什么?作用是什么? a.结构层:由 HTML 或 XHTML 之类的标记语言负责创建,仅负责语义的表达。解决了页面”内容是什么”的问题。 b.表示层:由CSS负责创建,解决了页面“如何显示内容”的问题。 c.行为层:由脚本负责。解决了页面上“内容应该如何对事件作出反应”的问题。 2.请简述盒模型 a.IE6盒子模型与W3C盒子模型 b.文档的每个元素被描绘为矩形盒子。盒子有四个边界:外边距边界margin, 边框边界bor
.net面试题
weixin_44883506的博客
06-20 615
1、简述 private、 protected、 public、 internal 修饰符的访问权限。 private : 私有成员, 在类的内部才可以访问。 protected : 保护成员,该类内部和继承类可以访问。 public : 公共成员,完全公开,没有访问限制。 internal: 当前程序集内可以访问。 2、ADO.NET的五个主要对象 Connection:主要是开启程序和数据...
.Net面试经验总结(.Net/C#)
lovestj的博客
04-13 9372
先说一下我的的基本情况,LZ是某普通二本的自动化专业的学生,大学阶段也就学了一些基础的C语言,大四时接触java,然后学了一点,但是没有找到这方面的工作,基本遇到的都是要培训的,后面进入一家使用C#开发的公司,这才开启了我的C#之旅,虽然有两年多的开发经验,但感觉自己还是个小白,还有很多的东西需要学习,这也是我做开发以来的第一次跳槽吧,总结一下面试的一些经验,也希望能够帮助到正在找.Net的小伙伴...
ASP.NET源码——通用防SQL注入漏洞程序(Global.asax方式).zip
10-10
2. **参数化查询**:使用参数化查询(例如ADO.NET的SqlCommand对象的Parameters集合)代替字符串拼接来构建SQL语句。这样,即使输入包含恶意SQL代码,也不会被执行,因为它们被视为参数而非代码。 3. **存储过程**...
ASP技术常遇问题解答-如何避免SQL语句含有单引号而导致操作失败?.zip
03-23
当SQL语句出现单引号时,数据库会将其视为字符串的边界,这可能导致语句语法错误或者意外地截断字符串。例如,如果你尝试插入包含单引号的数据,如名字为"John's",不恰当的处理会导致SQL解析错误。 2. **转义...
考研复习-英语二真题考试题集-带答案
09-14
英语二考研真题复习资料,带答案版
2024美独角兽公司发展分析报告.pdf
09-14
全球各大洲独角兽企业分布、美独角兽企业对比(数量、估值、新增及退榜情况、行业分布、所在城市)、
C++ 的异步编程模型是什么
09-14
在C++,异步编程模型是处理并发任务、提高程序性能和响应性的关键技术。以下是C++实现异步编程的几种主要方式: 每种异步编程模型都有其适用场景和优缺点。选择合适的模型可以提高代码的可读性、可维护性和性能。随着C++标准的不断发展,异步编程模型也在不断进化,为开发者提供了更多的工具和选择。 在实际开发,应根据具体需求选择合适的异步编程模型。例如,对于简单的异步任务,回调函数可能是最直接的选择;而对于需要结构化错误处理和结果获取的复杂异步任务,std::async和std::future可能更合适;在需要高效资源管理的场景下,线程池是一个不错的选择;而对于需要编写大量异步代码的现代应用程序,协程提供了一种更简洁、更直观的解决方案。 总之,C++的异步编程模型是多核和高并发环境下提高程序性能的重要工具。通过合理使用这些模型,开发者可以构建出更高效、更可靠的软件系统。
正则表达式Regex是一种文本模式.docx
09-14
正则表达式(Regular Expression,简称Regex或Regexp)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。正则表达式是强大的文本处理工具,广泛用于搜索、编辑或操作文本和数据。 基本组成 普通字符:大多数字符,包括所有大写和小写字母、所有数字、所有标点符号和一些其他符号,都是普通字符。正则表达式的普通字符表示它们自身。例如,正则表达式test会匹配字符串"test"。 特殊字符(元字符):一些字符在正则表达式具有特殊的意义,如^、$、.、*、+、?、{、}、[、]、|、\等。这些特殊字符用于表示在搜索文本时要匹配的一个或多个字符。例如,.匹配除换行符之外的任何单个字符。 字符类:字符类允许你指定一组字符的任何一个字符。例如,[abc]匹配"a"、"b"或"c"的任意一个字符。你也可以使用范围,如[a-z]匹配任何小写字母。 预定义字符类:正则表达式提供了一些预定义字符类,用于匹配常见的字符集合。例如,\d匹配任何数字(等价于[0-9]),\s匹配任
基于struts+sqlserver网络购物系统毕业课程源码设计+论文资料
09-14
编号:150 系统功能: 展示网站最新的商品信息。 展示网站特价的商品信息。 为用户提供修改个人资料和查看在网站操作情况的平台。 提供用户在网站上购物的平台。 展示网站发布的公告信息。 展示商品的销量排行。 展示网站的友情链接信息。 对商品详细信息以及分类信息进行管理。 对用户基本资料、交易制度、消费情况及留言信息进行管理。 对用户提交的订单进行管理。 对管理员信息、网站公告信息、商业资讯信息及友情链接信息进行管理。 系统运行稳定,具有强大的数据处理能力。 操作注意事项 (1)本系统的用户名为:admin,密码为:admin (2)admin管理员的信息不能删除。 (3)用户注册登录后,可进行商品购买、商品信息查看以及订单查询操作。 (4)后台登陆地址:http://localhost:8080/WebShopping/bg-land.jsp。
基于ssm的高校毕业生就业管理系统设计与实现.docx
最新发布
09-14
基于ssm的高校毕业生就业管理系统设计与实现.docx
ADO.NET连接字符串完全指南(PDF)
ADO.NET,连接字符串是用于建立应用程序与数据库之间连接的关键组件。这个PDF文档可能包含了各种数据库类型如SQL Server、SQL Server 2005、ACCESS、Oracle、MySQL、Interbase、IBM DB2、Sybase、Informix、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值