Foxtable(狐表)用户栏目专家坐堂 → 参数化SQL语句可以避免SQL注入吗?


  共有3374人关注过本帖树形打印复制链接

主题:参数化SQL语句可以避免SQL注入吗?

帅哥哟,离线,有人找我吗?
chen37280600
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:六尾狐 帖子:1279 积分:7953 威望:0 精华:4 注册:2017/12/31 14:53:00
  发帖心情 Post By:2019/4/16 11:29:00 [显示全部帖子]

送你一个玩意

'思路:用正则表达式检查是否存在注入的关键词

Dim SqlString As String =" 1=1orsdf"
If  Regex.IsMatch(SqlString .ToLower(), "/response|group_concat|cmd|sysdate|xor|declare|db_name|char| and| or|truncate| asc| desc|drop |table|count|from|select|insert|update|delete|union|into|load_file|outfile/") Then
    MessageBox.show("发现SQL注入")
Else
    MessageBox.show("SQL检测通过")
End If

发现后,你要怎么处理,自行决定。鉴于注入sql都很难看,一般我就改为1=2,让它不能bb

 回到顶部