C#验证用户输入信息是否包含危险字符串的方法
作者:feige
这篇文章主要介绍了C#验证用户输入信息是否包含危险字符串的方法,可针对and、or、exec、insert、select等SQL操作技巧进行过滤操作,非常具有一定参考借鉴价值,需要的朋友可以参考下
本文实例讲述了C#验证用户输入信息是否包含危险字符串的方法。分享给大家供大家参考。具体分析如下:
这个C#函数可以用于表单输入数据的后端验证,判断用户是否提交了一些sql相关的危险注入字符
/// <summary> /// 检测客户输入的字符串是否有效,并将原始字符串修改为有效字符串或空字符串 /// 当检测到客户的输入中有攻击性危险字符串,则返回false,有效返回true。 /// </summary> /// <param name="input">要检测的字符串</param> public static bool IsValidInput(ref string input) { try { if (IsNullOrEmpty(input)) { //如果是空值,则跳出 return true; } else { //替换单引号 input = input.Replace("'", "''").Trim(); //检测攻击性危险字符串 string testString = "and |or |exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare "; string[] testArray = testString.Split('|'); foreach (string testStr in testArray) { if (input.ToLower().IndexOf(testStr) != -1) { //检测到攻击字符串,清空传入的值 input = ""; return false; } } //未检测到攻击字符串 return true; } } catch (Exception ex) { throw new Exception(ex.Message); } }
希望本文所述对大家的C#程序设计有所帮助。