為了防止用戶通過傳遞非法字符而達(dá)到SQL注入攻擊的目的，我們必須想辦法過濾掉用戶輸入的非法字符，下面給出在C#中實(shí)現(xiàn)過濾非法字符的源代碼，供大家參考。

在這個(gè)例子里僅僅對等號=和單引號'進(jìn)行檢查和過濾，其它非法字符可以用同樣的方法來實(shí)現(xiàn)。

首先定義一個(gè)檢查函數(shù)

bool CheckParams(params object[] args)
{
  string[] Lawlesses={"=","'"};
  if(Lawlesses==null||Lawlesses.Length<=0)return true;
  //構(gòu)造正則表達(dá)式,例:Lawlesses是=號和'號,則正則表達(dá)式為 .*[=}'].*
 //另外,由于我是想做通用而且容易修改的函數(shù),所以多了一步由字符數(shù)組到正則表達(dá)式,實(shí)際使用中,直接 寫正則表達(dá)式亦可;
 string str_Regex=".*[";
 for(int i=0;i< Lawlesses.Length-1;i++)
     str_Regex+=Lawlesses[i]+"|";
 str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
 foreach(object arg in args)
 {
     if(arg is string)//如果是字符串,直接檢查
     {
         if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
             return false;
     }
   else if(arg is ICollection)//如果是一個(gè)集合,則檢查集合內(nèi)元素是否字符串,是字符串,就進(jìn)行檢查
    {
       foreach(object obj in (ICollection)arg)
       {
          if(obj is string)
          {
             if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
                  return false;
           }
     }
   }
}
return true;
}

我們用這個(gè)函數(shù)來檢查傳入的地址中是否含有非法字符即可。