日期:2014-05-17  浏览次数:20397 次

asp.net+oracle数据库!防止sql注入攻击
由于是对老系统进行安全升级!就不对所有录入信息进行过滤和检查了,在Global.asax中加了“void Application_BeginRequest(object sender, EventArgs e)”事件,来对Post和Get的请求进行验证。
//构造SQL的注入关键字符

        string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };

我想问的是这些关键字符应该是对 sqlserver来讲的吧!如果是oracle数据库,有什么不同么?或者在oracle数据库应用中,应该过滤那些关键字呢!
oracle asp.net 安全? sql注入?sqlserver

------解决方案--------------------
http://ndp-friends.blog.163.com/blog/static/52851427201102081157756/
------解决方案--------------------
sql server 和 oracle 都是基于t-sql语法的数据库,大部分关键字都是通用的,当然,你也可以针对oracle添加一些有效关键字