#region 防SQL注入及页面输出内容验证处理
/// <summary>
///替换单引号
/// </summary>
/// <param name="str"></param>
/// <returns></returns>
public static string FormatSQLParamSign(string str)
{
StringBuilder sb = new StringBuilder(str.Trim());
sb.Replace("'", "''");
return sb.ToString();
}
public static readonly string blackwords = ";|and|exec|insert|select|delete|update|*|%|chr|mid|master|truncate|char|declare|drop table|xp_cmdshell|netlocalgroup|administrators|net user";
/// <summary>
///拼接sql字符串条件时,替换特殊字符,如'- |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
/// </summary>
/// <param name="str"></param>
/// <returns></returns>
public static string FormatSQLParam(string str)
{
StringBuilder sb = new StringBuilder(str.Trim());
sb.Replace("'", "''");
string[] BlackList = blackwords.Split('|');
for (int i = 0; i < BlackList.Length; i++)
{
sb.Replace(BlackList[i], "");
}
return sb.ToString();
}
/// <summary>
/// 对Like 条件的特殊字符进行处理 % [ _ ^ '等
/// </summary>
/// <param name="str"></param>
/// <returns></returns>
public static string FormatSQLLikeParam(string str)
{
StringBuilder sb = new StringBuilder(str.Trim());
sb.Replace("'", "''").Replace("[", "[[]").Replace("%", "[%]").Replace("_", "[_]").Replace("^", "[^]");
return sb.ToString();
}
SQL Server查询中的特殊字符处理
我们都知道SQL Server查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。
但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。
其用途如下:
下划线:用于代替一个任意字符(相当于正则表达式中的 ? )
百分号:用于代替任意数目的任意字符(相当于正则表达式中的 * )
方括号:用于转义(事实上只有左方括号用于转义,右方括号使用最近优先原则匹配最近的左方括号)
尖号:用于排除一些字符进行匹配(这个与正则表达式中的一样)
以下是一些匹配的举例,需要说明的是,只有like操作才有这些特殊字符,=操作是没有的。
a_b... a[_]b%
a%b... a[%]b%
a[b... a[[]b%
a]b... a]b%
a[]b... a[[]]b%
a[^]b... a[[][^]]b%
a[^^]b... a[[][^][^]]b%
在实际进行处理的时候,对于=操作,我们一般只需要如此替换:
' -> ''
对于like操作,需要进行以下替换(注意顺序也很重要)
[ -> [[] (这个必须是第一个替换的!!)
% -> [%] (这里%是指希望匹配的字符本身包括的%而不是专门用于匹配的通配符)
_ -> [_]
^ -> [^]
对于xss攻击可以试着用一下微软的组件
AntiXssLibraryV1.5Installer.msi
查一下就可以
浅析XSS(Cross Site Script)漏洞原理
原文:
http://hi.baidu.com/freezesoul/blog/item/740840a99bece5fb1f17a27b.html