代码改变世界

超强过滤sql语句中的危险字符

2007-08-13 16:38  周国选  阅读(2418)  评论(0编辑  收藏

string strContent =sContent.Replace("'","''");

这个方法是把1个单引号替换成2个单引号.查询语句不会出错,而且在页面显示的时候还是会显示出原来的单引号.

 

 #region 过滤危险字符
    public string SafeSql(string sql)
    {
        sql = sql.Trim();
        sql = sql.Replace("<", "");
        sql = sql.Replace(">", "");
        sql = sql.Replace(" ", "");
        sql = sql.Replace("*", "");
        sql = sql.Replace("'", "");
        sql = sql.Replace("%", "");
        //.........
        return sql;
    }
    #endregion