SQL防注入-----恶意或者说是非法的SQL参数过滤 ！

    #region SQL注入过滤
    /// <summary>
    /// SQL注入过滤
    /// </summary>
    /// <param name="InText">要过滤的字符串</param>
    /// <returns>如果参数存在不安全字符，则返回false</returns>
    public static bool SqlFilter(string sqlParems)
    {
        if (sqlParems == null || sqlParems == "") return false;

       

        string sql = "'|;|--|=|select|*|and|exec|insert|delete|update|chr|or|join";
        foreach (string i in sql.Split('|'))
        {
            if (sqlParems.Trim().IndexOf(i) >= 0)
            {
                return false;
            }
        }
        return true;
    }
    #endregion

 

    个人认为，这个方法是最直接也是最方便的防SQL注入的办法 ！

    当然，

    这也只能在一定程度上防止SQL参数注入、URL注入等肤浅的SQL注入了 ！

 

    备注：需要新添加屏蔽的关键字符，或者字符转的话，可以直接在变量SQL后面添加（遵循用“|”隔开的规范就行）。然后在调用数据   库方法时，先对传入的参数进行SQL注入校验就行 ！