c#.net全站防止SQL注入类的代码
为了防止SQL注入,如果前期代码使用拼接的话,可以使用如下代码全站过滤,但这样可能会影响到所有提交数据,可以单独在查询页面调用如下代码。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
/// <summary>
/// 防SQL注入检查器
/// </summary>
public class SqlChecker
{
//当前请求对象
private HttpRequest request;
//当前响应对象
private HttpResponse response;
//安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面
private string safeUrl = String.Empty;
//Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来
//private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and";
//Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来
//private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
private const string StrRegex = @"=|!|'";
public SqlChecker()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
/// <summary>
/// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上
/// </summary>
/// <param name="_request">当前请求的 Request 对象</param>
/// <param name="_response">当前请求的 Response 对象</param>
public SqlChecker(HttpRequest _request, HttpResponse _response)
{
this.request = _request;
this.response = _response;
}
/// <summary>
/// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上
/// </summary>
/// <param name="_request">当前请求的 Request 对象</param>
/// <param name="_response">当前请求的 Response 对象</param>
/// <param name="_safeUrl">验证Sql注入之后将导向的安全 url</param>
public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl)
{
this.request = _request;
this.response = _response;
this.safeUrl = _safeUrl;
}
/// <summary>
/// 只读属性 SQL关键字
/// </summary>
public string KeyWord
{
get
{
return StrKeyWord;
}
}
/// <summary>
/// 只读属性过滤特殊字符
/// </summary>
public string RegexString
{
get
{
return StrRegex;
}
}
/// <summary>
/// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本)
/// </summary>
public string Msg
{
get
{
string msg = "<script type='text/javascript'> "
+ " alert('请勿输入非法字符!'); ";
if (this.safeUrl == String.Empty)
msg += " window.location.href = '" + request.RawUrl + "'";
else
msg += " window.location.href = '" + safeUrl + "'";
msg += "</script>";
return msg;
}
}
/// <summary>
/// 检查URL参数中是否带有SQL注入的可能关键字。
/// </summary>
/// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
public bool CheckRequestQuery()
{
bool result = false;
if (request.QueryString.Count != 0)
{
//若URL中参数存在,则逐个检验参数。
foreach (string queryName in this.request.QueryString)
{
//过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
continue;
//开始检查请求参数值是否合法
if (CheckKeyWord(request.QueryString[queryName]))
{
//只要存在一个可能出现Sql注入的参数,则直接退出
result = true;
break;
}
}
}
return result;
}
/// <summary>
/// 检查提交表单中是否存在SQL注入的可能关键字
/// </summary>
/// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
public bool CheckRequestForm()
{
bool result = false;
if (request.Form.Count > 0)
{
//若获取提交的表单项个数不为0,则逐个比较参数
foreach (string queryName in this.request.Form)
{
//过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
continue;
//开始检查提交的表单参数值是否合法
if (CheckKeyWord(request.Form[queryName]))
{
//只要存在一个可能出现Sql注入的参数,则直接退出
result = true;
break;
}
}
}
return result;
}
/// <summary>
/// 检查_sword是否包涵SQL关键字
/// </summary>
/// <param name="_sWord">需要检查的字符串</param>
/// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
public bool CheckKeyWord(string _sWord)
{
bool result = false;
//模式1 : 对应Sql注入的可能关键字
string[] patten1 = StrKeyWord.Split('|');
//模式2 : 对应Sql注入的可能特殊符号
string[] patten2 = StrRegex.Split('|');
//开始检查 模式1:Sql注入的可能关键字 的注入情况
foreach (string sqlKey in patten1)
{
if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0)
{
//只要存在一个可能出现Sql注入的参数,则直接退出
result = true;
break;
}
}
//开始检查 模式1:Sql注入的可能特殊符号 的注入情况
foreach (string sqlKey in patten2)
{
if (_sWord.IndexOf(sqlKey) >= 0)
{
//只要存在一个可能出现Sql注入的参数,则直接退出
result = true;
break;
}
}
return result;
}
/// <summary>
/// 执行Sql注入验证
/// </summary>
public void Check()
{
if (CheckRequestQuery() || CheckRequestForm())
{
response.Write(Msg);
response.End();
}
}
}
// 使用时可以根据需要决定是要进行全局性(即针对整个应用程序)的Sql注入检查
// ,还是局部性(即在针对某个页面)的Sql注入检查
/*=========== 全局性设置:在Global.asax.cs 中加上以下代码 =============
protected void Application_BeginRequest(Object sender, EventArgs e)
{
SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();
}
/*============ 局部性:在任何时候都可直接用以下代码来实现Sql注入检验 ===============
SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();
来自http://www.jb51.net/article/34671.htm
转载于:https://www.cnblogs.com/zhaogaojian/p/9132379.html
c#.net全站防止SQL注入类的代码相关推荐
- /plus/recommend.php sql注入漏洞,DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 -
DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 目前官方最新版已修复该漏洞 V5.7.37 GBK正式版20140228常规更新补丁 http://www.dedecms.com/pl/ ht ...
- 强大的PHP防SQL注入类,可以过滤敏感参数
这是一个考虑比较全面的php和sql结合的防注入程序,在php方便主要对get,post,cooke,files进行了过滤,在sql中我们就对delete,update一些查询命令进行检测过滤. SQ ...
- SQL注入—我是如何一步步攻破一家互联网公司的
最近在研究Web安全相关的知识,特别是SQL注入类的相关知识.接触了一些与SQL注入相关的工具.周末在家闲着无聊,想把平时学的东东结合起来攻击一下身边某个小伙伴去的公司,看看能不能得逞.不试不知道,一 ...
- 【转】从源码分析PreparedStatement是如何防止SQL注入的?
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题. 首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志) 1. 不使用 ...
- SEED实验系列:Collabtive系统SQL注入实验
本课程原文链接为:https://www.shiyanlou.com/courses/291,实验楼已经为此课程的实践提供了在线实验环境,想要尝试体验的,可以直接前往实验楼进行实践操作. 你能够喜欢我 ...
- PreparedStatement是如何防止SQL注入的?
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题. 首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志) 1. 不使用 ...
- C#SQL注入检测——特别是对于旧版.NET代码
目录 使用Decorator模式提供添加SQL注入检测的位置 SQL注入检测代码 究竟如何检测到SQL注入? SQLExtensions类中包含的格式化方法 自定义.NET异常类 用于检测SQL注入的 ...
- mybatis中如何防止sql注入和传参
环境 使用mysql,数据库名为test,含有1表名为users,users内数据如下 JDBC下的SQL注入 在JDBC下有两种方法执行SQL语句,分别是Statement和PrepareState ...
- sql注入pythonpoco_SQL注入原理与解决方法代码示例
一.什么是sql注入? 1.什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网 ...
- 墨者学院-SQL注入漏洞测试(报错盲注)
继续攻克SQL注入类题目啦!!!今天的题目环境提示比较明显,也是比较常见的一种SQL注入漏洞类型,继续储备知识,撸起袖子加油干!!! 附上题目链接:https://www.mozhe.cn/bug/d ...
最新文章
- JavaEE 6 将包括 JSR330 和 JSR299
- 《2019人工智能发展报告》出炉
- 让asp.net程序在修改web.config后不重启
- 【Windows 逆向】使用 CE 分析内存地址 ( 运行游戏 | 使用 CE 工具分析游戏内子弹数量对应的内存地址 | 内存地址初步查找 | 使用二分法定位最终的内存地址 )
- 五大经典算法之回溯法
- 6.1.2.6 盒子
- JAVA程序设计----函数基础1
- 2008技术内幕:T-SQL语言基础 联接查询摘记
- Git commit your changes or stash them before you can merge
- 数据统一管理--企业决策分析之刚需
- 软工网络15团队作业4——Alpha阶段敏捷冲刺-3
- 阶段3 3.SpringMVC·_07.SSM整合案例_09.ssm整合之Spring整合MyBatis框架配置事务
- java scjp 试题_SCJP(JAVA)试题一套!求答案...
- 基于eclipse的android项目实战—博学谷(一)欢迎界面
- 单片机的一些名词解释
- 国密Fabric-ca集群负载均衡
- geany怎么创建文件夹_安装 Geany
- html中如何显示代码样式方法
- 【渝粤题库】国家开放大学2021春2776兽医基础题目
- C# 发送邮件方法2
热门文章
- 管理员说:CSDN博客,一天访问量1000就很好了
- 日期格式 java_Java时间日期格式转换
- mysql导出sql和表格文件大小_atitit.sql server2008导出导入数据库大的表格文件... oracle mysql...
- 贪吃蛇c语言代贴吧,【图片】C语言小游戏~贪吃蛇【c语言吧】_百度贴吧
- 云服务器obs_华为云服务器ECS挂载对象存储服务OBS教程
- django.forms生成HTML,如何修改Django Form生成表单的样式
- c++ static静态变量、静态函数
- 楼板计算塑形弹性_阶梯教室板模板支架工程方案计算书(仅供参考)
- mysql日期序列填充_mysql – 如何使用一系列日期填充表格?
- 1、http网络编程——URL、CURL、CURLcode和curl_slist