ASP教程:防SQL注入

防SQL 注入是一個系統工程,在項目開發中就要系統的考慮SQL 注入的問題。一般做到以下4點，能比較好的控制SQL 注入：

1. 嚴格驗證用戶的一切輸入，包括URL參數。
2. 將用戶登錄名稱、密碼等數據加密保存
3. 不要用拼接字符串的方式來生成SQL語句，而是用SQL Parameters 傳參數或者用存儲過程來查詢
4. 嚴格驗證上傳文件的後綴，exe、aspx、ASP等可執行程序禁止上傳。

這裡介紹一個簡單通用的方法，用來驗證字符串中是否有敏感字符，參數可以是一個字符串，也可以是一個字符串集合，敏感字符可以在Lawlesses數組中定義：

1.         public static string[] Lawlesses = { "=", "'" };
2.         /// <summary>
3.         /// 敏感字符檢測
4.         /// </summary>
5.         /// <param name="args"></param>
6.         /// <returns></returns>
7.         public static bool CheckParams(params object[] args)
8.         {
9.             if (Lawlesses == null || Lawlesses.Length <= 0) return true;
10.             //構造正則表達式,例:Lawlesses是=號和'號,則正則表達式為 .*[=}'].*
11.             //另外,由於我是想做通用而且容易修改的函數,所以多了一步由字符數組到正則表達式,實際使用中,直接寫正則表達式亦可;
12.             string str_Regex = ".*[";
13.             for (int i = 0; i < Lawlesses.Length - 1; i++)
14.             {
15.                 str_Regex += Lawlesses[i] + "|";
16.             }
17.             str_Regex += Lawlesses[Lawlesses.Length - 1] + "].*";
18.             //
19.             foreach (object arg in args)
20.             {
21.                 if (arg is string)//如果是字符串,直接檢查
22.                 {
23.                     if (Regex.Matches(arg.ToString(), str_Regex).Count > 0)
24.                         return false;
25.                 }
26.                 else if (arg is ICollection)//如果是一個集合,則檢查集合內元素是否字符串,是字符串,就進行檢查
27.                 {
28.                     foreach (object obj in (ICollection)arg)
29.                     {
30.                         if (obj is string)
31.                         {
32.                             if (Regex.Matches(obj.ToString(), str_Regex).Count > 0)
33.                                 return false;
34.                         }
35.                     }
36.                 }
37.             }
38.             return true;
39.         }