C# 对于SQL注入的防范

最新推荐文章于 2024-08-08 11:46:49 发布
最新推荐文章于 2024-08-08 11:46:49 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blocksom/article/details/7896855
版权

其实对已sqlserver,最彻底的防SQL注入的方式就是对每个数据库设定一个用户,而对这个用户设置具体的权限,不过比较麻烦。

一、在对Get方法传参的时候;
如果是整型的参数:用
try{
int para = int.Parse(Request.QueryString["id"].ToString());
}catch(Exception ex){
}

如果是字符串的参数:只需要替换掉单引号即可:
string pata = Request.QueryString["id"].ToString().Replace("'","");

如果涉及到分页的话
我的做法一般就是:
Get传过来的参数是作为硬性的查询条件:
而把查询的项构造成一个查询字符串存放在页面的隐藏域上;
此时对于SQL注入的防范方法就是先把这个隐藏域中的单引号转化成其它的格式:如@
然后在使用的时候再转回来。
就在绑定的时候:
protected void BindDataProject() {
//把一些会导致严重后果的特殊字符替换成再也不会形成特殊字符的句子:xyz;以防有的人用:drodropp的形式的时候,把中间的drop 替换掉之后却形成了另一个drop
Hiddenfield.Value = Regex.Replace(Hiddenfield.Value,  @"'|update|create|alter|delete|drop|backup|truncate|exec|grant", "xyz", RegexOptions.IgnoreCase);     

//把所有的已经经过处理的单引号(转化成@了)在转化回去;
string QueryStr = Regex.Replace(Hiddenfield.Value, @"@+", "@", RegexOptions.IgnoreCase).Replace("@", "'");

//此处处理Get方法的参数
string GetStr = ..........................

string sql = "select * from *** where 1=1 " + QueryStr  + GetStr ;

然后就用该sql去查询。
}

因为需要转化,所以在查询的时候,按钮点击时的方法如下:
protected void lblsearch_Click(object sender, EventArgs e)//简单查询
        {
            string xmmc =txtXMmc3.Value.Trim().Replace("'","");//把单引号去掉
    string xmmc1 =txtXMmc1.Value.Trim();

            sql = getSqlStr(sql, "Donator",xmmc, "string", "like"); 
    sql = getSqlStr(sql, "",xmmc1 , "numeric", "="); 

            hidconditoin.Value = sql.Replace("'","@");//把需要的特殊字符单引号先转化成其它非特殊字符:@,
            BindDataProject();
        }

//sql设置
        /*
        ***  srcSQL:原sql语句
        ***  FieldName:数据库字段名
        ***  FeildVal:数据库字段值
        ***  dataType:字段类型
        ***  OPtype:操作符 如=, <, <=, like
        */
        private string getSqlStr(string srcSQL, string fieldName, string feildVal, string dataType, string OPtype) {//
            if (string.IsNullOrEmpty(feildVal.Trim())) {
                return srcSQL;
            }
            else {
                feildVal = feildVal.Trim(); //replace(/(^\s*)|(\s*$)/g, "");
                switch (dataType) {
                    case "numeric": //数值型
                        if (!IsNumeric(feildVal)) {
                            return srcSQL;
                        }
                        return srcSQL + " and " + fieldName + " "+ OPtype + " " + feildVal;
                    case "string":
                        return srcSQL + " and " + fieldName + " " + OPtype + " '%" + feildVal + "%'";


                    case "datetime":
                        if (!IsDateTime(feildVal))
                        {
                            return srcSQL;
                        } else {
                            return srcSQL + " and " + fieldName + " " + OPtype + " '" + feildVal + "'";
                        }


                    case "stringEqu"://相等的字符串类
                        return srcSQL + " and " + fieldName + " " + OPtype + " '" + feildVal + "'";


                    default:
                        return srcSQL;
                }
            }
        }
public bool IsNumeric(string str)
        {
            try { decimal.Parse(str); }
            catch { return false; }
            return true;
        }
        public bool IsDateTime(string str)
        {
            try { DateTime.Parse(str); }
            catch { return false; }
            return true;
        }

Blocksom
关注
专栏目录
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。   下面说下网站注入的几点要素。   一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。   二:如果用SQL语句,那就使用参数化,添加Param   三:尽可能的使用存储过程,安全性能高而且处理速度也快   四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法   C#SQL注入方法一   在Web.config文件中
c# 止sql 注入
weixin_42955679的博客
07-16 346
新加 RequestValidationFilter.cs。因为会获取页面所有的字段,所以需要过滤掉很多字段。
【网络安全学习】SQL注入03:如何SQL注入
最新发布
Zane的博客
08-08 618
如何有效的SQL注入
C#sql注入的帮助类
zhang123csdn的博客
12-09 1815
C#sql注入的帮助类
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6613
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql注入介绍以及御手段
记录 IT 领域经验与见解的博客
05-12 2822
SQL注入攻击包括基于错误的SQL注入、基于UNION的SQL注入、基于布尔的SQL注入和基于时间的SQL注入等多种类型。对于SQL注入攻击,我们必须认识到它的严重性,并制定有效的计划来避免其出现,从而提高网站的安全性。SQL注入攻击是一种Web应用程序的安全问题,它利用Web应用程序对用户输入的数据没有足够验证,使用恶意SQL代码获取或破坏应用程序的数据。这种类型的SQL注入利用数据库管理系统的错误处理功能,例如未处理的查询错误或未捕获的异常,向攻击者暴露敏感信息。1.基于错误的 SQL 注入
C#SQL注入
09-17
C#SQL注入 C#SQL注入是指在C#程序中SQL注入攻击的方法。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中.inject恶意SQL代码,来访问、修改或删除数据库中的数据。为了SQL注入C#...
C#使用带like的sql语句时sql注入的方法
09-04
在处理包含`LIKE`操作符的SQL查询时,防范SQL注入显得尤为重要,因为这类查询通常涉及用户提供的搜索关键词。本文将探讨如何在C#中使用带`LIKE`的SQL语句时SQL注入。 首先,让我们了解什么是SQL注入。当程序...
sql注入小方法
10-09
本文将通过C#与Access相结合的应用实例,详细介绍SQL注入的基本概念、危害性以及如何有效地SQL注入攻击。 #### 二、SQL注入概述 SQL注入是一种常见的网络攻击方式,攻击者通过在Web表单或其他输入字段中插入...
自己动手编写SQL注入漏洞扫描器C#源代码
03-16
本主题将深入探讨如何使用C#编程语言编写一个SQL注入漏洞扫描器,旨在帮助开发者理解和预这类威胁。 首先,我们需要理解SQL注入的基本概念。SQL注入是攻击者通过输入恶意的SQL代码,欺骗数据库服务器执行非预期的...
C#输入验证类,SQL注入
一只没有感情的AI机械猿
04-17 633
【代码】C#输入验证类,SQL注入
c# 后台SQL注入过滤
qq_40723922的博客
06-17 795
using System; using System.Collections.Generic; using System.Reflection; using System.Text;namespace PQIMS.Application { public class SQLinjection { public static bool DataValue(dynamic data) { string name = string.Empty
C#SQL注入代码实现方法
小程序员 大梦想
01-14 7261
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。下面说下网站注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等
C# SQL注入
五加乘
07-25 1342
C# SQL注入 在做Sql注入止的时候找了很多代码,但都不十分满意,有的需要一个页面一个页面去调用,有的则执行错误.于是在一个解决方案上面修改了一下,基本实现了全站SQL注入的功能,有什么不足的地方,还请批评指正 SqkKey.cs using System; using System.Text.RegularExpressions; using Sy
C# SQL注入
weixin_30367169的博客
09-06 307
string sql = "select * from student where id like" +"@key";Sqlconnection con = new Sqlconnetion();Sqlcommand com =new Sqlcommand();SqlParameter prmid = new SqlParameter();prmid.ParameterName = "@key...
C#.NETSQL注入式攻击
wenle006的专栏
01-06 2863
sql注入式攻击(可用于UI层控制) #region  sql注入式攻击(可用于UI层控制)   2    3   /**/ ///    4  ///  判断字符串中是否有SQL攻击代码  5  ///    6  ///  传入用户提交数据  7  ///  true-安全;false-有注入攻击现有;   8  public   bool  ProcessSqlStr( str
五、C#与数据库交互( SQL注入与安全性)
ww1457950571的博客
01-08 985
虽然存储过程不直接提供SQL注入的功能,但它们可以限制应用程序直接与数据库交互,从而减少潜在的注入风险。保持数据库管理系统(如SQL Server、MySQL等)和应用框架(如.NET)的更新和打补丁,以确保你利用了最新的安全修复和改进。确保正确地编码或转义所有从用户接收的输入数据,以及所有发送到用户的输出数据,以止跨站脚本攻击(XSS)。通过实施这些策略,你可以大大减少C#与数据库交互时的安全风险,并保护你的应用程序免受各种攻击的威胁。对敏感数据进行加密存储,并确保传输过程中的数据也是加密的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值