今天在论坛上看到一篇防止sql注入的讨论;我对这方面也不是很了解,所以就整理下别人发的代码。
一般用的sql防止注入的是那种过滤关键字和替换字符
过滤这些关键字符,对于对那些黑客技术有一定了解的,这根本就难不倒他们,同时存在and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare 这些关键字多过滤了,会出现防止过当了。
一般的用户都是使用存储过程,这样能防止一些语句注入,或者使用sqlParameter
或者在Web.Config配置文件中添加配置