.Net程序如何防止被注入(整站通用)

原创 2006年06月15日 10:12:00
作者:淘特网

出处:淘特网

注:转载请注明出处

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。

做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

一、数据验证类:
parameterCheck.cs

public class parameterCheck{
 public static bool isEmail(string emailString){
 return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['//w_-]+(//.['//w_-]+)*@['//w_-]+(//.['//w_-]+)*//.[a-zA-Z]{2,4}");
 }
 public static bool isInt(string intString){
 return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(//d{5}-//d{4})|(//d{5})$");
 }
 public static bool isUSZip(string zipString){
 return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]+$");
 }
}


二、Web.config

在你的Web.config文件中,在<appSettings>下面增加一个标签:如下
 <appSettings>
 <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
</appSettings>

其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

三、Global.asax

在Global.asax中增加下面一段:

protected void Application_BeginRequest(Object sender, EventArgs e){
 String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
 for(int i= 0 ;i < safeParameters.Length; i++){
 String parameterName = safeParameters[i].Split('-')[0];
 String parameterType = safeParameters[i].Split('-')[1];
 isValidParameter(parameterName, parameterType);
 }
}

public void isValidParameter(string parameterName, string parameterType){
 string parameterValue = Request.QueryString[parameterName];
 if(parameterValue == null) return;

 if(parameterType.Equals("int32")){
 if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
 }
 else if (parameterType.Equals("double")){
 if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");
 }
 else if (parameterType.Equals("USzip")){
 if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
 }
 else if (parameterType.Equals("email")){
 if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
 }
}
 

以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。

Net程序如何防止被注入整站通用

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。http://hi.ba...
  • TO_YGY
  • TO_YGY
  • 2008年04月10日 21:41
  • 697

Net程序如何防止被注入(整站通用)

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:para...
  • lanlandechong
  • lanlandechong
  • 2007年08月04日 14:54
  • 356

.Net程序如何防止被注入(整站通用) [转]

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。            做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。...
  • hotmail_mk
  • hotmail_mk
  • 2010年03月17日 10:15
  • 101

.Net程序如何防止被注入(整站通用)

一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString...
  • dfsh1983
  • dfsh1983
  • 2007年04月24日 08:57
  • 369

(转).Net程序如何防止被注入(整站通用)

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:para...
  • weixinfu3753
  • weixinfu3753
  • 2009年09月08日 10:27
  • 312

.Net程序如何防止被注入(整站通用)

 防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:par...
  • gtygogo
  • gtygogo
  • 2006年12月28日 09:45
  • 399

ASP.NET程序如何防止被注入(整站通用)

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:para...
  • ruiruixu
  • ruiruixu
  • 2010年11月20日 14:43
  • 471

通用的PHP防注入漏洞攻击的过滤函数代码

转自:http://www.q3060.com/list3/list117/17015.html //PHP整站防注入程序,需要在公共文件中require_once本文件  //判断magic...
  • u014413032
  • u014413032
  • 2016年10月22日 22:47
  • 640

WEB程序防SQL注入攻击程序

场景: WEB程序容易被SQL注入攻击,攻击原理是在请求参数中传入非法字符,造成SQL语句出现出现异常情况,已达到攻击者想要的结果。 分析: 一般的攻击者都是在传入的请求参数上做文章,所以我们重点检...
  • china_melancholy
  • china_melancholy
  • 2012年06月21日 16:23
  • 2557

Net程序如何防止被注入

作者:未知    文章来源:骇客基地 防止Sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防...
  • TO_YGY
  • TO_YGY
  • 2007年02月09日 21:41
  • 659
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:.Net程序如何防止被注入(整站通用)
举报原因:
原因补充:

(最多只允许输入30个字)