ASP.net防SQL注入(简单)

最新推荐文章于 2024-04-22 14:59:15 发布
最新推荐文章于 2024-04-22 14:59:15 发布
阅读量706 收藏
点赞数
文章标签: asp.net sql string application insert delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minjunyu/article/details/1615470
版权

一,验证方法

 /// <summary>
  ///SQL注入过滤
  /// </summary>
  /// <param name="InText">要过滤的字符串</param>
  /// <returns>如果参数存在不安全字符,则返回true</returns>
  public static bool SqlFilter2(string InText)
  {
   string word="and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
   if(InText==null)
    return false;
   foreach(string i in word.Split('|'))
   {
    if((InText.ToLower().IndexOf(i+" ")>-1)||(InText.ToLower().IndexOf(" "+i)>-1))
    {
     return true;
    }
   }
   return false;
  }

二,Global.asax 事件

  /// <summary>
  /// 当有数据时交时,触发事件
  /// </summary>
  /// <param name="sender"></param>
  /// <param name="e"></param>
  protected void Application_BeginRequest(Object sender, EventArgs e)
  {
   //遍历Post参数,隐藏域除外
   foreach(string i in this.Request.Form)
   {
    if(i=="__VIEWSTATE")continue;
    this.goErr(this.Request.Form[i].ToString());    
   }
   //遍历Get参数。
   foreach(string i in this.Request.QueryString)
   {
    this.goErr(this.Request.QueryString[i].ToString());    
   }
  }

三,Global中的一个方法

  /// <summary>
  /// 校验参数是否存在SQL字符
  /// </summary>
  /// <param name="tm"></param>
  private void goErr(string tm)
  {
   if(WLCW.Extend.CValidity.SqlFilter2(tm))
    this.Response.Redirect("/error.html");
  }

 
飞天小鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:    ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。    ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:   System
ASP.NET中如何SQL注入
karryz的专栏
08-05 135
SQL 注入是一个系统工程,在项目开发中就要系统的考虑SQL 注入的问题。一般做到以下4点,能比较好的控制SQL 注入: 严格验证用户的一切输入,包括URL参数。 将用户登录名称、密码等数据加密保存 不要用拼接字符串的方式来生成SQL语句,而是用SQL Parameters 传参数或者用存储过程来查询 严格验证上传文件的后缀,exe、aspx、asp等可执行程序禁止上传。 ...
ASP.NET网站SQL注入攻击
iamsyu的专栏
12-29 932
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式止注入攻击. 止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
ASP注入代码
龙狼刺的博客
04-27 540
ASP注入代码
ASP.NETSQL注入的方法示例
01-20
本文实例讲述了ASP.NETSQL注入的方法。分享给大家供大家参考,具体如下: 最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法注入呢我就用不着了。只能用传统的笨一点的办法了。...
asp.net SQL注入攻击
10-29
asp.net网站SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站止注入。
ASP.NET中如何SQL注入式攻击
agree_able
02-05 660
       好在要ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。   ⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:   第一:替换单引号,即把所有单独出现的单引号改成两个单引号,止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from
asp.net sql注入
weixin_30699463的博客
08-03 126
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
(论坛答疑点滴)有关sql注入
weixin_34279246的博客
04-09 126
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078 大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不...
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
10-10
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
asp.net SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NET集成客户关系管理的企业网站的设计与开发
最新发布
大叔_爱编程 的博客
04-22 1133
本文介绍了客户关系管理系统(CRM)的基本概念,通过具体实例介绍了客户关系管理软件(CRM)结合企业网站的设计和开发方法。实现了采用B/S模式的客户关系管理系统的基本模块,即客户管理,产品管理,销售管理,服务管理,合同管理,分析管理,报表管理等。着重讨论了用动态服务器页面(ASP)与SQL Server开发信息管理软件的方法及一些相关技术。
ASP.NET MVC企业级程序设计 (接上个作品加了添加)
Mr_wangzu的博客
04-19 357
【代码】ASP.NET MVC企业级程序设计 (接上个作品加了添加)
ASP.NET基于WEB的选课系统
大叔_爱编程 的博客
04-19 734
设计本系统的目的是对选课信息进行管理。学生选课系统维护模块主要完成的是系统管理与维护功能。课题研究过程中,首先对系统管理模块进行了详尽的需求分析,经分析得到系统管理模块主要完成如下的功能:用户基本信息、选课信息的录入,查看,修改,删除等,同时还具有查询各个模块的功能,数据备份,数据还原 ,注销等功能。系统管理模块是整个系统的指挥中心,保证整个系统在校园网上安全有效地运作。之后根据需求提出了系统管理模块的总体设计方案,并据此进行了详细设计和编码实现。系统使用B/S结构设计和开发,系统的编码实现基于VS.NET
asp.net get请求base64解密报错问题
qq_36437991的博客
04-22 636
asp.net get请求base64解密报错问题
asp.net c# sql学生信息管理系统
05-14
ASP.NET Core是一种开源的Web应用程序框架,旨在为开发人员提供一种跨平台的方法来构建Web应用程序。它是Microsoft ASP.NET的下一代版本,与之前版本相比,它具有更高的性能和更好的可扩展性。 ASP.NET Core是跨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值