在C#中防止SQL注入的方法

为了防止用户通过传递非法字符而达到SQL注入攻击的目的，我们必须想办法过滤掉用户输入的非法字符，下面给出在C#中实现过滤非法字符的源代码，供大家参考。

在这个例子里仅仅对等号=和单引号'进行检查和过滤，其它非法字符可以用同样的方法来实现。

首先定义一个检查函数

bool CheckParams(params object[] args)
{
  string[] Lawlesses={"=","'"};
  if(Lawlesses==null||Lawlesses.Length<=0)return true;
  //构造正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].*
 //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接 写正则表达式亦可;
 string str_Regex=".*[";
 for(int i=0;i< Lawlesses.Length-1;i++)
     str_Regex+=Lawlesses[i]+"|";
 str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
 foreach(object arg in args)
 {
     if(arg is string)//如果是字符串,直接检查
     {
         if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
             return false;
     }
   else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
    {
       foreach(object obj in (ICollection)arg)
       {
          if(obj is string)
          {
             if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
                  return false;
           }
     }
   }
}
return true;
}

我们用这个函数来检查传入的地址中是否含有非法字符即可。