C#防SQL注入代码的方法

1、在Web.config文件中， < appSettings>下面增加一个标签：< appSettings>　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />< /appSettings>

2、在Global.asax中增加下面一段代码：protected void Application_BeginRequest（Object sender, EventArgs e）{　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（','）；　　for（int i= 0 ;i < safeParameters.Length; i++）{　　String parameterName = safeParameters[i].Split（'-'）[0];　　String parameterType = safeParameters[i].Split（'-'）[1];　　isValidParameter（parameterName, parameterType）；　　}　　}　　public void isValidParameter（string parameterName, string parameterType）{　　string parameterValue = Request.QueryString[parameterName];　　if（parameterValue == null） return;　　if（parameterType.Equals（"int32"））{　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；　　}　　else if （parameterType.Equals（"USzip"））{　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；　　}　　else if （parameterType.Equals（"email"））{　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；　　}　　}

3、使用字符串过滤类：public static void StartProcessRequest（犬匮渝扮）　　{　　　　tr烤恤鹇灭y　　{　　string getkeys = "";　　　　if （System.Web.HttpContext.Current.Request.QueryString != null）　　{　　for（int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++）　　{　　getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.QueryString[getkeys],0））　　{　　　　System.Web.HttpContext.Current.Response.Write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；　　System.Web.HttpContext.Current.Response.End（）；　　}　　}　　}　　if （System.Web.HttpContext.Current.Request.Form != null）　　{　　for（int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++）　　{　　getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.Form[getkeys],1））　　{　　　　System.Web.HttpContext.Current.Response.Write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；　　System.Web.HttpContext.Current.Response.End（）；　　}　　}　　}　　}　　catch　　{　　// 错误处理： 处理用户提交信息！　　}　　}　　/**//// < summary>　　/// 分析用户请求是否正常　　/// < /summary>　　/// < param name="Str">传入用户提交数据< /param>　　/// < returns>返回是否含有SQL注入式攻击代码< /returns>　　private static bool ProcessSqlStr（string Str,int type）　　{　　string SqlStr;　　if（type == 1）　　SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";　　else　　SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";　　bool ReturnValue = true;　　try　　{　　if （Str != ""）　　{　　string[] anySqlStr = SqlStr.Split（'|'）；　　foreach （string ss in anySqlStr）　　{　　if （Str.IndexOf（ss）>=0）　　{　　ReturnValue = false;　　}　　}　　}　　}　　catch　　{　　ReturnValue = false;　　}　　return ReturnValue;　　}　　#endregion　　}　　}