关于SQL注入问题-,于解决办法

      相信有很多朋友，会了解sql注入，也知道如何的防范。网上这方面的资料很多，我就不怎么说了，下边说说我自己在项目中是如何解决这一问题的.

    

      现在对网站的攻击手段很多，很复杂，大体可以分为服务器端和客户端。攻击的角度很多。就连杀毒软件厂商瑞星都能被攻击，可想而知，不法分子的手段有多高明。暂不谈这方面。
我只说明我的理解防止SQL注入方法。网上很多方法，大多都是什么一些过滤函数，HttpModule与HttpHandler里写函数，过滤表单等方法。这样是可以防止一些注入但是我个人认为这样不好。我可以罗列出这几点：1：程序代码冗余，偶尔会忘记过滤 2：程序的执行效率，多一些代码总是需要一些时间去执行的。3：如何合法，正常与用户就是需要输入Update 、delete等一些字符，岂不是被过滤了吗？4：用函数过滤Sql关键字，不能彻底的过滤 5：别人可以利用二进制等一些手法，绕过过滤函数。不知道朋友们是否同意我这关点，请拍砖。

      

     下边谈谈我的解决方法：1： SQL语句参数化查询，强烈推存用 存储过程，哪怕是select * from 表 也用存储过程，这样代码没有冗余，又防SQL注入，代码易读，何乐而不为呢？
2：用.net 3.5的linq to sql ，据说这也可以防止注入，因为本人项目中为使用此技术。项目毕竟是用成熟的东西嘛。3：对参数做类型判断过滤，比如一个a.aspx?id=123这样的
代码，我们可以对id进行类型，判断，即id必须是整数，否则不通过验证。4：过滤任何关键字，不如过滤一个单引号来的重要。做到以上几点程序防SQL注入我想已经够了。
下边这些我做的项目都是采用以上过滤，根本不需什么过滤关键字那些函数。大家可以看下，www.5173.com ,www.658.com 等有代表性的。

 

     例如：
 
      /// <summary> /// 添加新用户 /// </summary> /// <param name="user">用户信息</param> /// <returns>新用户Id(成功),-1(用户已存在)</returns> public int Add() { /// 定义存储过程的参数并设置值或者传递方向 #region Populate Parameters SqlParameter[] arParams = new SqlParameter[18]; arParams[0] = new SqlParameter("@Id",SqlDbType.Int,4); arParams[1] = new SqlParameter("@loginpassword",SqlDbType.VarChar,20); arParams[2] = new SqlParameter("@realname",SqlDbType.VarChar,20); arParams[3] = new SqlParameter("@email",SqlDbType.VarChar,50); arParams[4] = new SqlParameter("@paypassword",SqlDbType.VarChar,20); arParams[5] = new SqlParameter("@UserName",SqlDbType.VarChar,20); arParams[6] = new SqlParameter("@phonenumber",SqlDbType.VarChar); arParams[7] = new SqlParameter("@postcode",SqlDbType.VarChar,20); arParams[8] = new SqlParameter("@address",SqlDbType.VarChar,50); arParams[9] = new SqlParameter("@registerip",SqlDbType.VarChar); arParams[10] = new SqlParameter("@gender",SqlDbType.VarChar,4); arParams[11] = new SqlParameter("@birthday",SqlDbType.VarChar,20); arParams[12] = new SqlParameter("@qqnumber",SqlDbType.VarChar,20); arParams[13] = new SqlParameter("@telephoneNumber",SqlDbType.VarChar,30); arParams[14] = new SqlParameter("@idcardnumber",SqlDbType.VarChar,); arParams[15] = new SqlParameter("@BusinessID", SqlDbType.VarChar,20); arParams[16] = new SqlParameter("@SMSstate", SqlDbType.Bit); arParams[17] = new SqlParameter("@PromotionUseId", SqlDbType.Int,4); arParams[0].Direction = ParameterDirection.Output; arParams[1].Value = _loginPassword; arParams[2].Value = _realName; arParams[3].Value = _email; arParams[4].Value = _payPassword; arParams[5].Value = _userName; arParams[6].Value = _phoneNumber; arParams[7].Value = _postcode; arParams[8].Value = _address; arParams[9].Value = _registerIP; arParams[10].Value = _gender; arParams[11].Value = _birthday; arParams[12].Value = _qqNumber; arParams[13].Value = _telephoneNumber; arParams[14].Value = _idCardNumber; arParams[15].Value = _businessID; arParams[16].Value = _SMSstate==true?1:0; arParams[17].Value = _promotionUserId ; #endregion try { /// 执行操作并返回结果 SqlHelper.ExecuteNonQuery(ConnectionString, CommandType.StoredProcedure, "CP_User_Add", arParams); return (int)arParams[0].Value; } catch { return -10; } } 随便大家拍砖！~classTypeID = Request.QueryString["connentTypeID"].ToString(); connentTypeID = Request.QueryString["classTypeID"].ToString(); if (!PublicTools.IsNumeric(classTypeID)) { Response.Redirect("Default.aspx"); return; } if (!PublicTools.IsNumeric(connentTypeID)) { Response.Redirect("Default.aspx"); return; }