猿问

关于SQL注入

我在所有用户输入的地方,以及通过GET全传值的地方,我在服务器端将如下关键字进行替换,

我想请问这样做之后,SQL注入是不是100%解决了?或者说是我还需要改进哪些地方?

public static string ReplaceDB(string s)
    {
        s = s.ToLower();


        s = s.Replace("-", "—"); //sql注释符

        s = s.Replace("'", "′");//SQL单引号

        s = s.Replace("<", "&lt;");

        s = s.Replace(">", "&gt;");

      //下面是SQL关键字
        s = s.Replace("drop", "drop");

        s = s.Replace("delete", "delete");

        s = s.Replace("update", "update");

        s = s.Replace("select", "select");

        s = s.Replace("alter", "alter");
        return s;
    }


泛舟湖上清波郎朗
浏览 512回答 2
2回答

牛魔王的故事

最好是用参数化的方式
0

胡子哥哥

支持,对于SQL注入问题,最后是用存储过程替换SQL语句!
0
随时随地看视频慕课网APP

相关分类

.NET
.net 中 字符串含有超链接,如何给超链接自动加上a标签? 1 回答
请问.net 中用jquery传值安全吗? 2 回答
我要回答