ASP.NET学习社区

不要那种一个一个页面的加的，要简单通用的 楼主！
我用的是Microsoft Visual Studio 2003 + sql server2000数据库

楼主啊、！ 你在不再啊1~ 我晕了！~！~！~！~！~！~！~！~！~！~！~

wo 晕 楼主

算了 我用customErrors 标签做了 偶=不来了！

不好意思 最近一直忙于项目 论坛上的少了些 望见谅
防注入的方法很多
我只说下思路 一般都是屏蔽关键字 可以把屏蔽的关键字写在XML中或ASPX页面中都可` 然后加上些替换代码 再每个页面先调用此页面代码即可

怎么 你的时间是  "2008-04-29 02:19  "这个 ....
不要那种每个页面调用的！要整站通用的

搞定!!!整站通用


    /// <summary>
        /// 校验参数是否存在SQL字符
        /// </summary>
        /// <param name="tm"></param>
        private void goErr(string tm)
        {
            if (SqlFilter2(tm))
            {
                Response.Write("<script>alert('你输入的字符串中包含非法字符!')</script>");
                Response.Redirect("Error/errStr.htm");
            }
        }

        /// <summary>
        ///SQL注入过滤
        /// </summary>
        /// <param name="InText">要过滤的字符串</param>
        /// <returns>如果参数存在不安全字符，则返回true</returns>
        public static bool SqlFilter2(string InText)
        {
            string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|'";
            if (InText == null)
                return false;
            foreach (string str_t in word.Split('|'))
            {
                if ((InText.ToLower().IndexOf(str_t + " ") > -1) || (InText.ToLower().IndexOf(" " + str_t) > -1) ||

                    (InText.ToLower().IndexOf(str_t) > -1))
                {
                    return true;
                }
            }
            return false;
        }

        protected void Application_BeginRequest(Object sender, EventArgs e)
        {
            foreach(string str in this.Request.Form)
            {
                if(str == "__VIEWSTATE") continue;
                this.goErr(this.Request.Form[str].ToString());
            }
            //遍历Get参数。
            foreach (string str_t in this.Request.QueryString)
            {
                this.goErr(this.Request.QueryString[str_t].ToString());
            }
        }

这个是我在网上找的

是不是就是写个公用类 然后调用