我有HttpHandler页面,我用它来做一些包括使用数据库的东西。我需要能够阻止人们访问此文件,并确保信息的路径是我的网站,而不是另一个使用Processrequest实现此目的的网页。Sql注入问题
public void ProcessRequest (HttpContext context) {
if (context.Request.Url.Authority.ToString() != HttpContext.Current.Request.Url.Authority.ToString())
return;
context.Response.ContentType = "text/plain";
string str = context.Request.Form["recordsArray[]"].ToString();
char[] delimiters = new char[] { ',', ';' };
string[] arr = str.Split(delimiters);
for (int i = 0; i < arr.Length; i++)
{
Functions.Add(new tab(arr[i])); // insert records into table Tabs => int id, string name
}
}
如果您担心sql注入,请向我们展示实际与db对话的代码。不要跳过那部分。 – 2011-04-27 14:01:46
看来您目前正试图比较是否A!= A换句话说我会(这只是一个猜测)假设HttpContext.Current.Request.Url.Authority.ToString()实际上等于上下文,因为“当前”(上下文)。 – 2011-04-27 14:02:13
@Rhhound:呃你是对的,徒劳无功。 – 2011-04-27 14:10:11