正则表达式防止SQL注入(C#版的)

最新推荐文章于 2022-07-16 15:01:58 发布
最新推荐文章于 2022-07-16 15:01:58 发布
阅读量3.7k 收藏
点赞数 1
文章标签: 正则表达式 sql c# regex string insert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OnlyOfMe/article/details/3590539
版权
 本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.

首先用一个Validate()类来封装正则表达式和相关操作:

    //验证是否有SQL注入字符
    private bool ValidateQuery(Hashtable queryConditions)
    {
    //构造SQL的注入关键字符
    #region 字符
    string[] strBadChar = {"and"
    ,"exec"
    ,"insert"
    ,"select"
    ,"delete"
    ,"update"
    ,"count"
    ,"or"
    //,"*"
    ,"%"
    ,":"
    ,"/'"
    ,"/""
    ,"chr"
    ,"mid"
    ,"master"
    ,"truncate"
    ,"char"
    ,"declare"
    ,"SiteName"
    ,"net user"
    ,"xp_cmdshell"
    ,"/add"
    ,"exec master.dbo.xp_cmdshell"
    ,"net localgroup administrators"};
    #endregion

    //构造正则表达式
    string str_Regex = ".*("
    for (int i = 0; i < strBadChar.Length - 1; i++)
    {
    str_Regex += strBadChar[i] + "|"
    }
    str_Regex += strBadChar[strBadChar.Length - 1] + ").*"
    //避免查询条件中_list情况
    foreach (string str in queryConditions.Keys)
    {
    if(str.Substring(str.Length - 5)=="_list")
    {
    //去掉单引号检验
    str_Regex = str_Regex.Replace("|'|", "|");
    }
    string tempStr = queryConditions[str].ToString();
    if (Regex.Matches(tempStr.ToString(), str_Regex).Count > 0)
    {
    //有SQL注入字符
    return true;
    }
    }
    return false;
    }

queryConditions 是一个hashtable,用于传入查询条件,hashtable中的键值(key)为:@name,相对应SQL中的参数,那Value则对应为参数的实际值了.

正则表达式的应用主要是按这样的规律来过滤字符串的:

.*(and|exec|select|update|or|'|''|).*   // str_Regex

核心函数主要是: Regex.Matches(tempStr.ToString(), str_Regex).

要是在 tempStr 字符串中含有非法字符, 则函数的Count值将大于0

好了,就这样就可以判断是否含有SQL注入攻击字符了.
OnlyOfMe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
使用正则表达式防止SQL注入攻击
xd1983的专栏
09-25 1万+
document.domain = "csdn.net";只要几个字符就能防SQL注入——正则表达式  前天朋友的网站被SQL挂马了,好惨,整个数据库不能用了。因为里面全是脚本。网站崩溃……       今儿他总算是把数据库还原完事了(还好有急时备份),之后打电话和我说了这事儿。忍不住建意他在所有有用户输入的地方进行验证,引用一句名言:“所有输入都是罪恶的”……
SQL注入正则表达式的方法(菜鸟级可用)
adpt74924的博客
09-28 7476
首先了解一下什么是SQL注入(网络找的) SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要...
正则表达式防止SQL注入
温水中的青蛙
08-20 2683
本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.首先用一个Validate()类来封装正则表达式和相关操作:    //验证是否有SQL注入字符    private bool Va
SQL防注入正则表达式
绅士jiejie的博客
07-16 2563
SQL防注入正则表达式
sql防止注入正则匹配
qq_40127376的博客
09-10 2984
通用所有,正则之前转小写 (.*\=.*\-\-.*)|(.*\|\|.*)|(.*\s+(and|or)\s+.*) 完美匹配
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1084
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
C#正则表达式提取网页数据
05-15
3. 使用参数化SQL语句防止SQL注入攻击。 4. 应用日志记录,以便于调试和问题追踪。 5. 考虑使用缓存技术,如Redis,减少对数据库的频繁访问。 总结,使用C#结合正则表达式从网页中提取数据是一项综合性的任务,涉及...
c# 全站防止sql注入
06-24
C#全站防止SQL注入是确保应用程序安全的关键措施,下面将详细介绍如何利用Global.asax和App_code中添加类来实现这一目标。 首先,我们来理解Global.asax文件的作用。Global.asax,也被称为应用程序全局事件处理程序...
c#.net全站防止SQL注入类的代码
10-27
以下是一个使用C# .NET编写的防止SQL注入的类,名为`SqlChecker`。 `SqlChecker`类主要包含以下几个部分: 1. **构造函数**:类提供了三个构造函数,它们接收HttpRequest和HttpResponse对象,用于处理HTTP请求和...
C#实现过滤sql特殊字符的方法集合
09-03
C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
php防止sql注入示例分析和几种常见攻击正则表达式
10-26
主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击的正则表达式,大家参考使用吧
PHP防止SQL注入与几种正则表达式讲解
12-15
注入漏洞代码和分析   代码如下: <?php function customerror($errno, $errstr, $errfile, $errline) { echo error number: [$errno],error on line $errline in $errfile; die(); } set_error_handler(customerror,e_error); $getfilter='|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|< \s*script\b|\bexec\b|unio
防止xss和sql注入:JS特殊字符过滤正则
10-27
防止xss和sql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
C#字符串和正则表达式参考手册
04-18
4. **安全过滤**:过滤非法字符,防止SQL注入等安全问题。 ### C#字符串与正则表达式的结合 C#字符串和正则表达式经常一起使用,以增强字符串处理能力。例如,可以先使用字符串方法对原始数据进行初步处理,然后...
C# 检查字符串,防SQL注入攻击
tlucia的专栏
11-10 537
这个例子里暂定为=号和号bool CheckParams(params object[] args){    string[] Lawlesses={"=",""};    if(Lawlesses==null||Lawlesses.Length    //构造正则表达式,例:Lawlesses是=号和号,则正则表达式为 .*[=}].*  (正则表达式相关内容请见MSDN)    //另
c# 正则格式化文本防止SQL注入
weixin_30394669的博客
10-01 387
/// <summary> /// 格式化文本(防止SQL注入) /// </summary> /// <param name="str"></param> /// <returns></returns> public s...
c# .net 正则表达式验证sql非法字符串,防止sql注入
mcsoft_lzm的专栏
10-26 3161
老铁,就一句代码 Regex.IsMatch(sWord.ToLower(), "/response|group_concat|cmd|sysdate|xor|declare|db_name|char| and| or|truncate| asc| desc|drop |table|count|from|select|insert|update|delete|union|into|load_fi...
防止SQL注入的五种方法
热门推荐
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
C#怎么防止SQL注入
最新发布
07-15
C# 中,可以采取以下措施来防止 SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句中,而不是直接将输入值嵌入到 SQL 查询字符串中。这样可以防止恶意输入被解释为 SQL 代码。例如,在使用 SqlCommand 执行查询时,可以使用 SqlParameter 对象来设置查询参数。 以下是使用参数化查询的示例代码: ```csharp string sqlQuery = "SELECT * FROM Users WHERE Username = @username AND Password = @password"; using (SqlCommand command = new SqlCommand(sqlQuery, connection)) { command.Parameters.AddWithValue("@username", username); command.Parameters.AddWithValue("@password", password); // 执行查询... } ``` 2. 输入验证和过滤:在接受用户输入之前,进行输入验证和过滤是一种重要的安全措施。可以使用正则表达式、白名单过滤或其他校验机制来验证用户输入。确保只接受预期的输入,并拒绝或处理任何异常或恶意的输入。 3. 限制数据库权限:为了最小化攻击面,应该为数据库连接使用具有最低权限的账户。确保数据库账户只有执行必要操作的权限,并限制对敏感数据的访问。 4. 避免拼接 SQL 字符串:尽量避免直接拼接用户输入的值到 SQL 查询字符串中。如果需要动态构建查询语句,可以使用 StringBuilder 或类似的工具来安全地构建查询字符串。 5. 使用存储过程:存储过程是预编译的 SQL 代码,可以防止 SQL 注入攻击。通过使用存储过程,可以将用户输入的值作为参数传递给存储过程,而不是直接嵌入到 SQL 查询中。 综上所述,采取这些措施可以帮助您有效地防止 SQL 注入攻击。但是请记住,安全是一个持续的过程,需要综合考虑多种安全性措施来保护应用程序和数据。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值