3

因此,我正在编写一个处理程序,该处理程序使用 DataView RowFilter 属性根据 AppRelativeCurrentExecutionFilePath 过滤缓存的 DataTable。对输入进行编码以防止注入攻击的最佳方法是什么?

以下内容是否足够?有没有更好/更优雅的方式?

dataView.RowFilter = String.Format("Name LIKE '{0}%'", EncodeString(query));

private string EncodeString(string s)
{
    StringBuilder sb = new StringBuilder();
    for (int i = 0; i < s.Length; i++)
    {
        char c = s[i];
        if (c == '*' || c == '%' || c == '[' || c == ']')
            sb.Append("[").Append(c).Append("]");
        else if (c == '\'')
            sb.Append("''");
        else
            sb.Append(c);
    }

    return sb.ToString();
}
4

1 回答 1

0

您不能在 RowFilter 中注入 sql。

编辑:正如所指出的,可以通过注入获取表中的所有行,可能类似于以下工作:

dataTable.AsEnumerable()
    .Where(r => r.Field<string>("StringColumn").Contains(userInput))
    .ToList().ForEach(r => Console.WriteLine(r.Field<string>("StringColumn")));
于 2009-08-12T14:16:02.907 回答