防止SQL注入方法總結

1、參數化SQL

    是指在設計與數據庫連接並訪問數據時，在須要填入數值或數據的地方，使用參數 (Parameter) 來給值，用@來表示參數。

    在使用參數化查詢的狀況下，數據庫服務器不會將參數的內容視爲SQL指令的一部份來處理，而是在數據庫完成 SQL 指令的編譯後，才套用參數運行，所以就算參數中含有惡意的指令，因爲已經編譯完成，就不會被數據庫所運行,所以，可從必定程度上避免SQL注入。（注意：只是必定程度上避免，仍有例外）

在不用的數據庫上基本語法都是同樣的，但在不一樣的運行平臺上客戶端的書寫有不一樣之處，舉例使用SQL server在.net上執行。

SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); ' 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); ' 設定參數 @c2 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();

注意：

一、若是存儲過程當中使用字符串拼接sql的話，上面的參數化將不會起做用，單引號必須通過判斷並替換，在數據庫中，用2個單引號表明1個實際的單引號。因此，若是是拼接sql字符串的方式，須要用Replace(@para,'''', '''''')來替換一下，將1個單引號替換爲2個就沒有問題了。

二、使用這種參數化查詢的辦法，防止SQL注入的任務就交給ADO.NET了, 若是在項目中統一規定必須使用參數化查詢，就不用擔憂因個別程序員的疏忽致使的SQL注入漏洞了。     可是，問題尚未完，SQL注入的漏洞是堵住了，可是查詢結果的正確性，參數化查詢並不能幫上什麼忙。

 

2、字符串過濾（在上面方法不能阻止的狀況下，可使用該方法,不推薦使用）

　　//字符串過濾，防止sql注入。
        public bool IsHasSQLInject(string str)
        {
            bool isHasSQLInject = false;

　　　　//字符串中的關鍵字更具須要添加
            string inj_str = "'|and|exec|union|create|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|xp_|or|--|+";
            str = str.ToLower().Trim();
            string[] inj_str_array = inj_str.Split('|');
            foreach (string sql in inj_str_array)
            {
                if (str.IndexOf(sql) > -1)
                {
                    isHasSQLInject = true;
                    break;
                }
            }
            return isHasSQLInject;
        }

3、使用正則表達式過濾傳入的參數（這個方法沒有親自驗證，從網上找來的）

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

檢測MS SQL Server SQL注入攻擊的正則表達式：/exec(\s|\+)+(s|x)p\w+/ix

結合Regular Expression使用，簡稱RE是一種很是強大的文字驗證技術。If Re.Mathc(str,pattern).Success Then 繼續執行，這裏使用Match方法來對用戶輸入的內容與定義好的模板進行驗證。

4、前端js防範SQL注入（前端驗證只能起到必定做用，還須要後臺參數化阻止SQL注入）

var url = location.search;

var re=/^\?(.*)(select%20|insert%20| delete %20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ "|:|net%20user|\|%20or%20)(.*)$/gi;

var e = re.test(url);

if(e) {

     alert(" 地址中含有非法字符～ ");

     location.href=" error.asp";

}