在asp.net c#中的文本框中转义（'）符号。

Question

28 浏览2023年3月21日

匿名的 2023年3月21日

0 Comments

我目前正在学习C#中的asp.net，

我发现如果允许用户在文本框字段中输入某些值，

那么（'）符号将导致SQL语句报错。

避免此类错误的好做法是使用JavaScript阻止该符号，如“event.keyCode!=222”，或者用其他符号替换它？

0

匿名的 · Answer 1 · 2023-05-19T22:44:04+00:00

问题的出现原因是为了防止SQL注入而对查询字符串进行转义，但在使用ASP.NET C#中的文本框时，可能会遇到转义符号（'）无法正确处理的情况。

解决方法之一是在服务器端使用方法将撇号和特殊符号转换为普通文本，或者使用带有存储过程的参数化查询。可以使用Regex.Replace来在服务器端执行转义操作，将所有的撇号和双减号（注释符号）转换为普通查询字符串。

另一种解决方法是使用参数化查询。示例中使用了SqlCommand和SqlParameter来构建参数化查询。通过将值作为参数传递，而不是直接构建完整的查询字符串，可以防止SQL注入和引号错误。

需要注意的是，使用参数传递值已经足够防止SQL注入和引号错误，不需要进行正则表达式替换操作。

总结起来，为了防止SQL注入和引号错误，可以选择使用方法将撇号和特殊符号转换为普通文本，或者使用参数化查询来构建查询。通过这种方式，可以确保输入的文本不会被误解为查询语句中的一部分，从而提高数据安全性。

匿名的 · Answer 2 · 2023-06-23T17:35:11+00:00

问题的原因是，如果在使用ORM（如entity framework）的情况下，（'）符号不应该成为问题。无论如何，应该在服务器端（C#）处理特殊字符，而不是在客户端（JS）处理，否则代码将容易受到SQL注入等攻击。

解决方法是在服务器端（C#）对特殊字符进行处理，可以使用以下代码：

string input = TextBox1.Text;
string sanitizedInput = input.Replace("'", "''");

以上代码将（'）符号替换为两个（'），从而避免了SQL注入的风险。

匿名的 · Answer 3 · 2023-05-19T10:11:19+00:00

在ASP.NET的C#中，文本框中出现(Escape ( ' ） symbol)的问题很常见。这个问题的出现原因是在构建SQL字符串时，如果用户在文本框中输入了特殊字符，比如单引号（'），会导致SQL注入的风险。为了解决这个问题，我们可以采取以下方法：

1. 首先，我们需要了解哪些字符实际上会导致SQL注入的风险。可以参考这个链接：Which characters are actually capable of causing SQL injection in mysql，了解更多关于SQL注入的信息。

2. 我们应该在服务器端进行过滤，而不是依赖于客户端的JavaScript。因为客户端的JavaScript可以被绕过，所以在服务器端进行过滤是更安全可靠的做法。

3. 更好的解决方法是使用存储过程，并通过参数传递用户提交的值，而不是动态构建SQL字符串。这样可以降低SQL注入的风险。

总结起来，为了避免在ASP.NET的C#中出现(Escape ( ' ） symbol)的问题，我们应该在服务器端进行字符过滤，并使用存储过程来处理用户提交的值，而不是直接构建SQL字符串。这样可以有效降低SQL注入的风险，并提高系统的安全性。