我有HttpHandler頁面,我用它來做一些包括使用數據庫的東西。我需要能夠阻止人們訪問此文件,並確保信息的路徑是我的網站,而不是另一個使用Processrequest實現此目的的網頁。Sql注入問題
public void ProcessRequest (HttpContext context) {
if (context.Request.Url.Authority.ToString() != HttpContext.Current.Request.Url.Authority.ToString())
return;
context.Response.ContentType = "text/plain";
string str = context.Request.Form["recordsArray[]"].ToString();
char[] delimiters = new char[] { ',', ';' };
string[] arr = str.Split(delimiters);
for (int i = 0; i < arr.Length; i++)
{
Functions.Add(new tab(arr[i])); // insert records into table Tabs => int id, string name
}
}
如果您擔心sql注入,請向我們展示實際與db對話的代碼。不要跳過那部分。 – 2011-04-27 14:01:46
看來您目前正試圖比較是否A!= A換句話說我會(這只是一個猜測)假設HttpContext.Current.Request.Url.Authority.ToString()實際上等於上下文,因爲「當前」(上下文)。 – 2011-04-27 14:02:13
@Rhhound:呃你是對的,徒勞無功。 – 2011-04-27 14:10:11