c#如何防止sql注入?-木庄网络博客

本文摘自PHP中文网，作者青灯夜游，侵删。

对于网站的安全性，是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞，那势必将造成很大的损失。为了提高网站的安全性，首先网站要防注入。

下面我们给大家介绍C#防止sql注入的几种方法：

方法一：

在Web.config文件下面增加一个如下标签：

< appSettings>
　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
< /appSettings>

其中key是 < saveParameters>后面的值为”OrderId-int32”等，其中”-“前面表示参数的名称比如：OrderId,后面的int32表示数据类型。

方法二：

在Global.asax中增加下面一段：

protected void Application_BeginRequest（Object sender, EventArgs e）{
　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（','）；
　　for（int i= 0 ;i < safeParameters.Length; i++）{
　　String parameterName = safeParameters[i].Split（'-'）[0];
　　String parameterType = safeParameters[i].Split（'-'）[1];
　　isValidParameter（parameterName, parameterType）；
　　}
　　}
　　public void isValidParameter（string parameterName, string parameterType）{
　　string parameterValue = Request.QueryString[parameterName];
　　if（parameterValue == null） return;
　　if（parameterType.Equals（"int32"））{
　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"USzip"））{
　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"email"））{
　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　}