如何判断数据库查询的输入为非法
日期:2014-05-18 浏览次数:21118 次
怎么判断数据库查询的输入为非法?
------解决方案--------------------
if(string.IsNullOrEmpty(temp[0]))
{}
------解决方案--------------------
楼主注释掉的那个地方感觉有几个错误,首先如果reader1这个对象为空的话就不能写reader1[0],当然也不能用ToString()这个方法了,而且判断的时候应该是==null,不是=null。写成
if (reader1)
{
}
这样应该可以吧
------解决方案--------------------
你是判断从界面输入的,还是用户输入到数据库的记录??
------解决方案--------------------
判断是否有数据存在,数据为空时检验一下
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
你可以用验证控件啊,不合法的不让他输入,或者直接替换输入的非法字符串
- C# code
string SqlStr = "SELECT * FROM BusStation WHERE st LIKE '%'+@st+'%'";
SqlCommand cmd = new SqlCommand(SqlStr, conn);
cmd.Parameters.AddWithValue("@st", st1);
SqlDataReader reader1 = cmd.ExecuteReader();
string[] temp = new string[reader1.FieldCount];
try
{
//if ((reader1[0].ToString=null) 这里怎么判断用户输入的信息不对啊 我这么写会报错啊 ?
// temp[0] = "没有!";
while (reader1.Read()) {
for (int i = 0; i < reader1.FieldCount; i++)
{
temp[i] = reader1[i].ToString();
}
}//while
}//try
------解决方案--------------------
if(string.IsNullOrEmpty(temp[0]))
{}
------解决方案--------------------
楼主注释掉的那个地方感觉有几个错误,首先如果reader1这个对象为空的话就不能写reader1[0],当然也不能用ToString()这个方法了,而且判断的时候应该是==null,不是=null。写成
if (reader1)
{
}
这样应该可以吧
------解决方案--------------------
你是判断从界面输入的,还是用户输入到数据库的记录??
------解决方案--------------------
判断是否有数据存在,数据为空时检验一下
------解决方案--------------------
------解决方案--------------------
------解决方案--------------------
你可以用验证控件啊,不合法的不让他输入,或者直接替换输入的非法字符串
- C# code
//字符串清理
public string InputText(string inputString, int maxLength)
{
StringBuilder retVal = new StringBuilder();
// 检查是否为空
if ((inputString != null) && (inputString != String.Empty))
{
inputString = inputString.Trim();
//检查长度
if (inputString.Length > maxLength)
inputString = inputString.Substring(0, maxLength);
//替换危险字符
for (int i = 0; i < inputString.Length; i++)
{
switch (inputString[i])
{
case '"':
retVal.Append(""");
break;
case '<':
retVal.Append("<");
break;
case '>':
retVal.Append(">");
break;
default:
retVal.Append(inputString[i]);
break;
}
}
retVal.Replace("'", " ");// 替换单引号
}
return retVal.ToString();
}
------解决方案--------------------
string[] temp = new string[reader1.FieldCount];这个数组不能这么定义
修改成
if (reader1.FieldCount>0)
{
string[] temp = new string[reader1.FieldCount];
}
else
{
string[] temp = new string[1];
}
------解决方案--------------------
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
