正则表达式防止SQL注入(C#版的)

最新推荐文章于 2024-04-27 18:11:31 发布
最新推荐文章于 2024-04-27 18:11:31 发布
阅读量3.6k 收藏
点赞数 1
文章标签: 正则表达式 sql c# regex string insert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OnlyOfMe/article/details/3590539
版权
 本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.

首先用一个Validate()类来封装正则表达式和相关操作:

    //验证是否有SQL注入字符
    private bool ValidateQuery(Hashtable queryConditions)
    {
    //构造SQL的注入关键字符
    #region 字符
    string[] strBadChar = {"and"
    ,"exec"
    ,"insert"
    ,"select"
    ,"delete"
    ,"update"
    ,"count"
    ,"or"
    //,"*"
    ,"%"
    ,":"
    ,"/'"
    ,"/""
    ,"chr"
    ,"mid"
    ,"master"
    ,"truncate"
    ,"char"
    ,"declare"
    ,"SiteName"
    ,"net user"
    ,"xp_cmdshell"
    ,"/add"
    ,"exec master.dbo.xp_cmdshell"
    ,"net localgroup administrators"};
    #endregion

    //构造正则表达式
    string str_Regex = ".*("
    for (int i = 0; i < strBadChar.Length - 1; i++)
    {
    str_Regex += strBadChar[i] + "|"
    }
    str_Regex += strBadChar[strBadChar.Length - 1] + ").*"
    //避免查询条件中_list情况
    foreach (string str in queryConditions.Keys)
    {
    if(str.Substring(str.Length - 5)=="_list")
    {
    //去掉单引号检验
    str_Regex = str_Regex.Replace("|'|", "|");
    }
    string tempStr = queryConditions[str].ToString();
    if (Regex.Matches(tempStr.ToString(), str_Regex).Count > 0)
    {
    //有SQL注入字符
    return true;
    }
    }
    return false;
    }

queryConditions 是一个hashtable,用于传入查询条件,hashtable中的键值(key)为:@name,相对应SQL中的参数,那Value则对应为参数的实际值了.

正则表达式的应用主要是按这样的规律来过滤字符串的:

.*(and|exec|select|update|or|'|''|).*   // str_Regex

核心函数主要是: Regex.Matches(tempStr.ToString(), str_Regex).

要是在 tempStr 字符串中含有非法字符, 则函数的Count值将大于0

好了,就这样就可以判断是否含有SQL注入攻击字符了.
OnlyOfMe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
PHP防止SQL注入与几种正则表达式讲解
12-15
注入漏洞代码和分析   代码如下: <?php function customerror($errno, $errstr, $errfile, $errline) { echo error number: [$errno],error on line $errline in $errfile; die(); } set_error_handler(customerror,e_error); $getfilter='|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|< \s*script\b|\bexec\b|unio
html 转义js
gergerman的专栏
11-06 1374
function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, ">"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); s = s.replace(/
C#网站代码防止漏洞和攻击 增强网站安全性方法
一只没有感情的AI机械猿
09-15 855
永远不要信任用户提供的输入数据。始终对用户提交的数据进行验证和过滤,以防止恶意输入。使用正则表达式、白名单过滤或内置的.NET验证来验证输入。使用参数化查询或存储过程来执行数据库查询,而不是将用户输入直接嵌入SQL语句中。这可以有效防止SQL注入攻击。始终对用户提交的数据进行HTML编码,以防止恶意脚本注入到你的网页中。使用或类似的编码函数。如果你的网站需要用户账户,确保实施强密码策略,并对用户密码进行适当的哈希和加盐处理。不要以明文存储密码。
sql防止注入正则匹配
qq_40127376的博客
09-10 2564
通用所有,正则之前转小写 (.*\=.*\-\-.*)|(.*\|\|.*)|(.*\s+(and|or)\s+.*) 完美匹配
正则表达式防止SQL注入
温水中的青蛙
08-20 2640
本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.首先用一个Validate()类来封装正则表达式和相关操作:    //验证是否有SQL注入字符    private bool Va
asp.net的SQL防注入过滤函数大集合
10-22
常用的asp.net的SQL防注入过滤函数大集合,实用性很高! 执行效率不错!
SQL防注入正则表达式
绅士jiejie的博客
07-16 2249
SQL防注入正则表达式
SQL注入正则表达式
weixin_45634365的博客
02-17 4216
SQL注入SQL注入攻击的本质,就是把用户输入的数据当做代码执行。 这里有两个关键的条件: 1、用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1998年一名叫做rfp的黑客发表了一篇关于SQL注入的文章 首先查看登录处理代码: <meta charset='utf-8'> <?php @$username = $_REQUEST['username']; #用户名 @$password = $_REQUEST['password']; #密码 $conn
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1018
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
防止SQL注入的五种方法
热门推荐
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
php防止sql注入示例分析和几种常见攻击正则表达式
10-26
主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击的正则表达式,大家参考使用吧
正则表达式测试工具C#(src)
10-25
正则表达式测试工具C#完整源码,包括查找和替换功能,标注显示匹配结果。
SQL 正则表达式及mybatis中使用正则表达式
10-18
主要介绍了SQL 正则表达式及mybatis中使用正则表达式的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
正则表达式(Regular Expression)详解
qq_41768644的博客
04-24 349
正则表达式详解 正则表达式实例详解
MySQL数据库——17.正则表达式
weixin_66370632的博客
04-21 1215
MySQL正则表达式是一种强大的模式匹配工具,用于在文本数据中搜索和匹配特定的模式。MySQL使用正则表达式来执行模式匹配的操作,可以在SELECT语句的WHERE子句中使用,也可以在其他SQL语句中使用。
正则表达式与通配符
最新发布
更多内容查看博客描述。
04-27 182
【代码】正则表达式与通配符。
JS -正则表达式
好看的皮囊千篇一律,有趣的灵魂万里挑一。
04-23 660
关于正则表达式,其实我写过几篇了,但是真正的正则表达式其实主要用于定义一些字符串的规则,计算机根据给出的正则表达式,来检查一个字符串是否符合规则。
正则表达式
2301_77523055的博客
04-27 656
正则表达式,又称规则表达式,是对字符串操作的一种逻辑公式。它用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,用来表达对字符串的一种过滤逻辑。给定一个正则表达式和另一个字符串,可以通过正则表达式从字符串中获取想要的特定部分。正则表达式是一种强大的文本处理工具,它使用特定的字符序列来定义一种搜索模式,以便在文本中查找、匹配或替换符合该模式的字符串。下面将详细解释正则表达式的知识点,力求清晰易懂。
Python 正则表达式
json_li的博客
04-23 1220
Python 正则表达式笔记
正则表达式防止sql注入
06-09
正则表达式不能完全防止 SQL 注入攻击,但可以作为一个辅助手段增加安全性。正则表达式可以用来过滤输入,确保输入的内容符合预期的格式,从而减少 SQL 注入攻击的可能性。 例如,可以使用正则表达式对输入的内容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值