前段忙了好长一段时间,终于有点时间学点新东西了。记得前段看过几篇安全方面的文章,提到SQL注入的问题,于是就想做些防注入方面的探索。要防范注入,最重要是对输入的信息,尤其是放到SQL语句中执行的信息,进行验证,保证其中不包含恶意的SQL元素,而这种验证,正好属于正则表达式的范围,于是对C#的正则表达式进行了实验,以其满足我的需要,现将实验结果与大家分享。
运行环境:WinXP+IIS6+ASP.NET+C#
正则表达式是一种用于模式匹配和替换的强有力工具,它通过构建一个表达式对输入的字符串进行模式匹配,然后返回处理后的结果,如果你对它还不了解,请继续往下看。
以最广泛的WEB身份验证为例:我们从页面中接收到输入的用户名,存入变量Temp_UserName,此时变量中可能含有恶意的信息,我们想要用户名中只包含英文字符,数字和下划线,就要构造正则表达式对Temp_UserName进行处理,在C#中是这样进行的:
我们要使用的是System.Text.RegularExpressions.Regex.Replace(字符串,正则表达式,替换字符)这一静态方法,其中参数字符串当然就是我们的Temp_UserName了,正则表达式我先给出"\\W",替换字符是"",整个方法完成后就是
System.Text.RegularExpressions.Regex.Replace(Temp_UserName,"\\W","");
//它用来替换与正则表达式匹配成功的字符
下面着重说一下C#中正则表达式的构造:
C#正则表达式的构造和字符串相同,都是放在引号当中,形式如"look"。
正则表达式中提供了专门的“元字符”,它是在正则表达式中具有特殊意义的专用字符,常用的元字符包括"+","*","?","\\s","\\S","\\d","\\w","\\W",区分大小写,下面就对元字符进行说明:
"+" 如"Lo+"匹配L后面o出现一次或多次的字符串,如"Love","Look"都是
"*" 待测试
"?" 待测试
"\\s" 匹配单个空格符,包括TAB和换行符。
"\\S" 匹配除单个空格符之外的所有字符。
"\\d" 匹配从0到0的数字。
"\\w" 匹配字母、数字和下划线。
"\\W" 匹配所有与\\w不匹配的字符。(文中第一个例子就是用了这个元字符,将所有的单引号和空格以及其它非法字符都去掉了)
正则表达式中还提供了专门的定位符,它包括:"^","{$body}quot;,"\\b"
正则表达式中还提供了专门的范围介定符"[]",否定符[^]
[a-z] 表示26个小写字母中的任意一个
[abcd] 表示abcd这四个字母中的任意一个
[0-9] 表示10个数字
[^a-z] 表示除26个小写字母以外的字符
下面一文也是讲正则表达式的:http://blog.csdn.net/3cts/archive/2004/10/22/146740.aspx
本文地址:http://com.8s8s.com/it/it43385.htm