当前位置:  编程技术>.net/c#/asp.net

C#防SQL注入代码的三种方法

    来源: 互联网  发布时间:2014-10-27

    本文导语:  对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。   下面说下网站防注入的...

对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。

  下面说下网站防注入的几点要素。

  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。

  二:如果用SQL语句,那就使用参数化,添加Param

  三:尽可能的使用存储过程,安全性能高而且处理速度也快

  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法

  C#防SQL注入方法一

  在Web.config文件中, < appSettings>下面增加一个标签:如下

代码如下:

  < appSettings>

  < add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />

  < /appSettings>


  其中key是 < saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

  C#防SQL注入方法二

  在Global.asax中增加下面一段:

代码如下:

  protected void Application_BeginRequest(Object sender, EventArgs e){

  String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString()。Split(',');

  for(int i= 0 ;i < safeParameters.Length; i++){

  String parameterName = safeParameters[i].Split('-')[0];

  String parameterType = safeParameters[i].Split('-')[1];

  isValidParameter(parameterName, parameterType);

  }

  }

  public void isValidParameter(string parameterName, string parameterType){

  string parameterValue = Request.QueryString[parameterName];

  if(parameterValue == null) return;

  if(parameterType.Equals("int32")){

  if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  else if (parameterType.Equals("USzip")){

  if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  else if (parameterType.Equals("email")){

  if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  }


  C#防SQL注入方法三

  使用字符串过滤类

代码如下:

  using System;

  namespace web.comm

  {

  /**//// < summary>

  /// ProcessRequest 的摘要说明。

  /// < /summary>

  public class ProcessRequest

  {

  public ProcessRequest()

  {

  //

  // TODO: 在此处添加构造函数逻辑

  //

  }


  SQL注入式攻击代码分析#region SQL注入式攻击代码分析
代码如下:

  /**//// < summary>

  /// 处理用户提交的请求

  /// < /summary>

  public static void StartProcessRequest()

  {

  // System.Web.HttpContext.Current.Response.Write("< script>alert('dddd');< /script>");

  try

  {

  string getkeys = "";

  //string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();

  if (System.Web.HttpContext.Current.Request.QueryString != null)

  {

  for(int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++)

  {

  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))

  {

  //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");

  System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");

  System.Web.HttpContext.Current.Response.End();

  }

  }

  }

  if (System.Web.HttpContext.Current.Request.Form != null)

  {

  for(int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++)

  {

  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))

  {

  //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");

  System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");

  System.Web.HttpContext.Current.Response.End();

  }

  }

  }

  }

  catch

  {

  // 错误处理: 处理用户提交信息!

  }

  }

  /**//// < summary>

  /// 分析用户请求是否正常

  /// < /summary>

  /// < param name="Str">传入用户提交数据< /param>

  /// < returns>返回是否含有SQL注入式攻击代码< /returns>

  private static bool ProcessSqlStr(string Str,int type)

  {

  string SqlStr;

  if(type == 1)

  SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";

  else

  SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";

  bool ReturnValue = true;

  try

  {

  if (Str != "")

  {

  string[] anySqlStr = SqlStr.Split('|');

  foreach (string ss in anySqlStr)

  {

  if (Str.IndexOf(ss)>=0)

  {

  ReturnValue = false;

  }

  }

  }

  }

  catch

  {

  ReturnValue = false;

  }

  return ReturnValue;

  }

  #endregion

  }

  }


    
 
 

您可能感兴趣的文章:

  • C#使用带like的sql语句时防sql注入的方法
  • C#调用SQL语句时乘号的用法
  • C#代码验证sql语句是否正确(只验证不执行sql)的方法
  • C#列出局域网中可用SQL Server服务器
  • 一些关于c#与Sql的时间的操作
  • C#检测是否有危险字符的SQL字符串过滤方法
  • C#中验证sql语句是否正确(不执行语句)
  • C#将Sql数据保存到Excel文件中的方法
  • c# asp .net 动态创建sql数据库表的方法
  • c#测试本机sql运算速度的代码示例分享
  • c#和sql如何获得时间间隔的方法
  • c#生成excel示例sql数据库导出excel
  • c#中Linq to Sql 增删除的实例
  • c#实现用SQL池,多线程定时批量执行SQL语句的方法
  • C#和SQL实现的字符串相似度计算代码分享
  • C#拼接SQL语句 用ROW_NUMBER实现的高效分页排序
  • C#怎样才能将XML文件导入SQL Server
  • c#在sql中存取图片image示例
  • C# 连接SQL数据库的方法及常用连接字符串
  • c#连接数据库与sql2005远程连接
  • Practico CMS 'uid' SQL注入漏洞
  • 堵住sql server中sql注入漏洞的的方法
  • SQL注入测试平台 SQLol
  • 开源跨平台SQL注入漏洞扫描工具 Hexjector
  • Java自动化SQL注入测试工具 jSQL
  • 自动 SQL 注入工具 sqlmap
  • php防止sql注入代码实例
  • SQL盲注入工具 BlindSQLInjector
  • SQL注入漏洞检测&利用工具 aidSQL
  • sql绕过单引号限制继续注入的解决方法
  • 三步堵死 SQL Server注入漏洞
  •  
    本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • sql2005 大数据量检索分页的sql代码
  • 创建 sql server 链接服务器的sql代码
  • sql server 删除表1某些数据的同时自动删除表2的相关数据的sql代码
  • SQL Server中选出指定范围行的SQL语句代码
  • 推荐SQL Server 重新恢复自动编号列的序号的sql代码
  • sql 查询所有数据库、表名、表字段的代码
  • sql 行转列示例代码
  • asp连接sql server 2005的代码
  • 一定得帮我看看sql server2000通过sql server2000jdbc driver的代码
  • 用SQL统计SQLServe表存储空间大小的代码
  • 请问在 Linux 下如何用代码实现连接oracle数据库 并 执行 SQL 语句?
  • 在ADF中跟踪SQL执行时间实现代码
  • 经典Sql代码--取出点击量最高的文章100篇,每个作者不超过5篇
  • 查找特定类别的列 sql代码
  • Oracle SQL中实现indexOf和lastIndexOf功能的思路及代码
  • 简单的SQL Server备份脚本代码
  • 经典sql代码--统计电话通话次数以及时长
  • 经典sql代码--逐行计算、逐行递延、逐行更新
  • sql server获取月份名称缩写的代码
  • SQL Server本地时间和UTC时间的相互转换实现代码
  • java命名空间java.sql接口statement的类成员方法: executeupdate定义及介绍
  • 请问,这是什么错误!java.sql.SQLException: [Microsoft][ODBC SQL Server Driver][Named Pipes]??????? SQL Server?虽然分少,但一定给,只要您是前5名回复者中最好的以为!
  • java命名空间java.sql接口connection的类成员方法: nativesql定义及介绍
  • SQL查询分析工具 SQL Workbench/J
  • java命名空间java.sql接口preparedstatement的类成员方法: executeupdate定义及介绍
  • oracle导出sql语句的结果集和保存执行的sql语句(深入分析)
  • java命名空间java.sql接口rowid的类成员方法: getbytes定义及介绍
  • SQL Server统计SQL语句执行时间的脚本
  • java命名空间java.sql接口ref的类成员方法: getbasetypename定义及介绍
  • SQL客户端软件 PKLite SQL Client
  • java命名空间java.sql接口databasemetadata的类成员方法: getsqlkeywords定义及介绍


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3