日期:2013-04-16  浏览次数:20640 次

/******雪龙原创*******/
//版权所有,末经作者同意不得转载

前段忙了好长一段时间,终于有点时间学点新东西了。记得前段看过几篇安全方面的文章,提到SQL注入的问题,于是就想做些防注入方面的探索。要防范注入,最重要是对输入的信息,尤其是放到SQL语句中执行的信息,进行验证,保证其中不包含恶意的SQL元素,而这种验证,正好属于正则表达式的范围,于是对C#的正则表达式进行了实验,以其满足我的需要,现将实验结果与大家分享。

运行环境:WinXP+IIS6+ASP.NET+C#

正则表达式是一种用于模式匹配和替换的强有力工具,它通过构建一个表达式对输入的字符串进行模式匹配,然后返回处理后的结果,如果你对它还不了解,请继续往下看。
  
  以最广泛的WEB身份验证为例:我们从页面中接收到输入的用户名,存入变量Temp_UserName,此时变量中可能含有恶意的信息,我们想要用户名中只包含英文字符,数字和下划线,就要构造正则表达式对Temp_UserName进行处理,在C#中是这样进行的:

  我们要使用的是System.Text.RegularExpressions.Regex.Replace(字符串,正则表达式,替换字符)这一静态方法,其中参数字符串当然就是我们的Temp_UserName了,正则表达式我先给出"\\W",替换字符是"",整个方法完成后就是

System.Text.RegularExpressions.Regex.Replace(Temp_UserName,"\\W","");
//它用来替换与正则表达式匹配成功的字符

下面着重说一下C#中正则表达式的构造:
C#正则表达式的构造和字符串相同,都是放在引号当中,形式如"look"。
正则表达式中提供了专门的“元字符”,它是在正则表达式中具有特殊意义的专用字符,常用的元字符包括"+","*","?","\\s","\\S","\\d","\\w","\\W",区分大小写,下面就对元字符进行说明:
"+" 如"Lo+"匹配L后面o出现一次或多次的字符串,如"Love","Look"都是
"*" 待测试
"?" 待测试
"\\s" 匹配单个空格符,包括TAB和换行符。
"\\S" 匹配除单个空格符之外的所有字符。
"\\d" 匹配从0到0的数字。
"\\w" 匹配字母、数字和下划线。
"\\W" 匹配所有与\\w不匹配的字符。(文中第一个例子就是用了这个元字符,将所有的单引号和空格以及其它非法字符都去掉了)

正则表达式中还提供了专门的定位符,它包括:"^","{$body}quot;,"\\b"


正则表达式中还提供了专门的范围介定符"[]",否定符[^]
[a-z] 表示26个小写字母中的任意一个
[abcd] 表示abcd这四个字母中的任意一个
[0-9] 表示10个数字
[^a-z] 表示除26个小写字母以外的字符