如果我允许用户输入文本框,然后对我的数据库执行搜索,则可能存在 sql 注入。我可以使用正则表达式,这是我的第一个想法。但我有一个更好的主意。为什么不看看他们输入的内容是否包含任何 SQL 关键字。我在使用 c# 的 ASP.NET 程序中使用 SQL Server 数据库,我认为微软会为我正在谈论的内容提供一个简单的解决方案。我能找到的最好的是这篇文章:
这可能是最终会做的事情,但我的问题是我仍然必须输入整个关键字列表,大约有一百个。当然我现在可以完成,而不是搜索和问这个问题。但是没有更简单的方法吗?现在我要去:
1 创建一个哈希集 2 将所有关键字添加到哈希集 (cmon) 3 根据哈希集验证用户输入
希望看到步骤 2 变得更容易,任何其他关于 sql 注入的建议也值得赞赏