ASP.NET防止SQL注入函数

using System;
using System.Text.RegularExpressions;
using System.Web;
namespace FSqlKeyWord
......{
    /**//**//**//// <summary>
    /// SqlKey 的摘要说明。
    /// </summary>
    public class SqlKey
    ......{
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|'']";
        public SqlKey(System.Web.HttpRequest _request)
        ......{
            //
            // TODO: 在此处添加构造函数逻辑
            //
            this.request = _request;
        }

        /**//**//**//// <summary>
        /// 只读属性 SQL关键字
        /// </summary>
        public static string KeyWord
        ......{
            get
            ......{
                return StrKeyWord;
            }
        }
        /**//**//**//// <summary>
        /// 只读属性过滤特殊字符
        /// </summary>
        public static string RegexString
        ......{
            get
            ......{
                return StrRegex;
            }
        }
        /**//**//**//// <summary>
        /// 检查URL参数中是否带有SQL注入可能关键字。
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在，false不存在</returns>
        public bool CheckRequestQuery()
        ......{
            if (request.QueryString.Count != 0)
            ......{
                //若URL中参数存在，逐个比较参数。
                for (int i = 0; i < request.QueryString.Count; i++)
                ......{
                    // 检查参数值是否合法。
                    if (CheckKeyWord(request.QueryString[i].ToString()))
                    ......{
                        return true;
                    }
                }
            }
            return false;
        }

        /**//**//**//// <summary>
        /// 检查提交表单中是否存在SQL注入可能关键字
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在，false不存在</returns>
        public bool CheckRequestForm()
        ......{
            if (request.Form.Count > 0)
            ......{
                //获取提交的表单项不为0 逐个比较参数
                for (int i = 0; i < request.Form.Count; i++)
                ......{
                    //检查参数值是否合法
                    if (CheckKeyWord(request.Form[i]))
                    ......{
                        //存在SQL关键字
                        return true;

                    }
                }
            }
            return false;
        }

        /**//**//**//// <summary>
        /// 静态方法，检查_sword是否包涵SQL关键字
        /// </summary>
        /// <param name="_sWord">被检查的字符串</param>
        /// <returns>存在SQL关键字返回true，不存在返回false</returns>
        public static bool CheckKeyWord(string _sWord)
        ......{
            if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
                return true;
            return false;
        }

        /**//**//**//// <summary>
        /// 反SQL注入:返回1无注入信息，

否则返回错误处理
        /// </summary>
        /// <returns>返回1无注入信息，否则返回错误处理</returns>
        public string CheckMessage()
        ......{
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()
            ......{
                msg = "<span style=''font-size:24px;''>非法操作！<br>";
                msg += "操作IP：" + request.ServerVariables["REMOTE_ADDR"] + "<br>";
                msg += "操作时间：" + DateTime.Now + "<br>";
                msg += "页面：" + request.ServerVariables["URL"].ToLower() + "<br>";
                msg += "<a href="#" onclick="history.back()">返回上一页</a></span>";
            }
            return msg.ToString();
        }
    }
}

--------------------编程问答-------------------- 你什么意思，防注入最好就别用sql拼接，用参数 --------------------编程问答--------------------

引用 1 楼 bdmh 的回复:

你什么意思，防注入最好就别用sql拼接，用参数

他是用正则过滤了特殊字符，这太麻烦

直接用参数传递，很简单 --------------------编程问答-------------------- 用传参不是最直接的么？ --------------------编程问答--------------------

引用 2 楼 Chinajiyong 的回复:

引用 1 楼 bdmh 的回复:你什么意思，防注入最好就别用sql拼接，用参数

他是用正则过滤了特殊字符，这太麻烦

直接用参数传递，很简单

对 参数传递 
加上存储过程会更好 

--------------------编程问答-------------------- 防SQl注入就是不要用Sql拼接 用参数就行了吧· --------------------编程问答-------------------- 直接用传参方式不就得了吗？？？ --------------------编程问答-------------------- 亲，你用SqlParameter不就结了吗，费这么大的神。 --------------------编程问答--------------------

引用 3 楼 foreveryimada 的回复:

用传参不是最直接的么？

正解 --------------------编程问答-------------------- 用参数+sql语句 或者 存储过程 --------------------编程问答-------------------- 大神们都说了。用参数。 --------------------编程问答-------------------- 受教了，各位大神。 --------------------编程问答-------------------- 就算不用参数化，也可以这么防止，字符串参数就过滤单引号，数值参数就类型转换，只要做好这两点，就能防止一切SQL注入，比你的简单多了吧！！！ --------------------编程问答--------------------
参数化基本就能差不多了。

纠正一下上面一个人的回复。
不是说存储过程就能解决安全性的问题。
还是需要看存储过程的sql怎么写，程序怎么传参。
在存储过程里面拼接sql和在程序里面拼接没有区别。 --------------------编程问答-------------------- --------------------编程问答--------------------   直接用@传值不就行了，没那么复杂的
  或者用linq框架
  或者用orm框架 就不用考虑注入了   --------------------编程问答-------------------- 参数化存储过程 --------------------编程问答-------------------- 过滤SQL关键字的技术貌似好像比较过时了，一般都用SqlParameter吧如果是用Linq的话那更是什么都不要写了~ --------------------编程问答-------------------- 使用参数化查询 --------------------编程问答-------------------- 直接用参数吧，代码又少又安全 --------------------编程问答-------------------- 你看，现代社会还发这么落后的东西，被笑话了吧 --------------------编程问答--------------------   @参数传值，linq框架，ORM框架，存储过程，写方法过滤关键词
这5种方法都可以防止SQL注入，也只能给楼主点思路了，
  建议楼主可以结贴了，如果在有什么疑问的话，在说明吧！ --------------------编程问答-------------------- 赞同参数传递 --------------------编程问答-------------------- 最好用参数，楼上说的太多了
另外有人说防注入就两条，一是替换单引号为两个，二是类型检查，这也不错 --------------------编程问答-------------------- 如果你拼接的sql有漏洞，你解释过滤这些，人家可以把你这些关键字编码，编码后你的过滤就不起作用了

存储过程，参数化，别怕麻烦

补充：.NET技术 ,  分析与设计