在ASP.Net怎么防止SQL注入?
我用asp.net+sqlserver2005做的网站,最近老是中木马注入,数据库所有text类型和varchar字段,被注入了<script>location.herf...
我用asp.net+sql server2005做的网站,最近老是中木马注入,数据库所有text类型和varchar字段,被注入了<script>location.herf('地址');</script>这种脚本代码,每次中招以后都是手动去删除这些东西,有没有能够防止的方法啊?
展开
5个回答
展开全部
不用那么麻烦的进行HTML编码就行了,编码后别人输入的脚本不会执行了比如:显示时进行编码:Label1.text=Server.HtmlEncode("要显示的字符串");或者在存入数据库时编码,显示时就不用编码了比如:"Inser into table values(" + Server.HtmlEncode("要保存的字符串") +") "假设你的留言框是Textbox1那么保存时不要直接用Textbox1.text,用Server.HtmlEncode(Textbox1.text)
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
<script> 这样的标签 在插入数据库的时候 一定要替换成掉的写一个方法,用来处理 文本编辑器返回的字符 /// <summary>
/// 返回文本编辑器替换后的字符串
/// </summary>
/// <param name="str">要替换的字符串</param>
/// <returns></returns>
static public string GetHtmlEditReplace(string str)
{
#region
return str.Replace("'", "’").Replace(" ", " ").Replace(",", ",").Replace("%", "%").
Replace("script", "").Replace(".js", "");
#endregion
}为了防止,过滤掉合法的 单词,替换的时候可以换成 全角字符script = script
/// 返回文本编辑器替换后的字符串
/// </summary>
/// <param name="str">要替换的字符串</param>
/// <returns></returns>
static public string GetHtmlEditReplace(string str)
{
#region
return str.Replace("'", "’").Replace(" ", " ").Replace(",", ",").Replace("%", "%").
Replace("script", "").Replace(".js", "");
#endregion
}为了防止,过滤掉合法的 单词,替换的时候可以换成 全角字符script = script
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
