SQL字符串過濾 檢測是否有危險字符

 　　一個C# SQL數據庫字串操作函數，可實現對SQL字符串過濾、檢測SQL是否有危險字符、修正sql語句中的轉義字符，確保SQL不被注入：

　　SQL字符串過濾函數：

　　01public static bool ProcessSqlStr(string Str)

　　02{

　　03 bool ReturnValue = true;

　　04 try

　　05 {

　　06 if (Str.Trim() != "")

　　07 {

　　08 string SqlStr ="exec|insert+|select+|delete|update|count|chr|mid|master+

|truncate|char|declare|drop+|drop+table|creat+

|create|*|iframe|script|";

　　09 SqlStr +="exec+|insert|delete+|update+|count(|count+|chr+|+mid

(|+mid+|+master+|truncate+|char+|

+char(|declare+|drop+table|creat+table";

　　10 string[] anySqlStr = SqlStr.Split('|');

　　11 foreach (string ss in anySqlStr)

　　12 {

　　13 if (Str.ToLower().IndexOf(ss) >= 0)

　　14 {

　　15 ReturnValue = false;

　　16 break;

　　17 }

　　18 }

　　19 }

　　20 }

　　21 catch

　　22 {

　　23 ReturnValue = false;

　　24 }

　　25 return ReturnValue;

　　26}

　　以下是檢測SQL語句中是否包含有非法危險的字符：

　　view sourceprint?01///

　　02/// 檢測是否有Sql危險字符

　　03///

　　04/// 要判斷字符串

　　05/// 判斷結果

　　06public static bool IsSafeSqlString(string str)

　　07{

　　08 return !Regex.IsMatch(str, @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']");

　　09}

　　10///

　　11/// 改正sql語句中的轉義字符

　　12///

　　13public static string mashSQL(string str)

　　14{

　　15 string str2;

　　16 if (str == null)

　　17 {

　　18 str2 = "";

　　19 }

　　20 else

　　21 {

　　22 str = str.Replace("'", "'");

　　23 str2 = str;

　　24 }

　　25 return str2;

　　26}