ASP.NET 防止SQL注入的函数

最新推荐文章于 2024-07-15 16:06:17 发布
最新推荐文章于 2024-07-15 16:06:17 发布
阅读量709 收藏 1
点赞数
分类专栏: asp.net 文章标签: sql asp.net string url insert delete

 

using  System;
 using  System.Text.RegularExpressions;
 using  System.Web;

 namespace  FSqlKeyWord
... {
    /**//// <summary>
    /// SqlKey 的摘要说明。
    /// </summary>
    public class SqlKey
    ...{
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";
        public SqlKey(System.Web.HttpRequest _request)
        ...{
            //
            // TODO: 在此处添加构造函数逻辑
            //
            this.request = _request;
        }

        /**//// <summary>
        /// 只读属性 SQL关键字
        /// </summary>
        public static string KeyWord
        ...{
            get
            ...{
                return StrKeyWord;
            }
        }
        /**//// <summary>
        /// 只读属性过滤特殊字符
        /// </summary>
        public static string RegexString
        ...{
            get
            ...{
                return StrRegex;
            }
        }
        /**//// <summary>
        /// 检查URL参数中是否带有SQL注入可能关键字。
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestQuery()
        ...{
            if (request.QueryString.Count != 0)
            ...{
                //若URL中参数存在,逐个比较参数。
                for (int i = 0; i < request.QueryString.Count; i++)
                ...{
                    // 检查参数值是否合法。
                    if (CheckKeyWord(request.QueryString[i].ToString()))
                    ...{
                        return true;
                    }
                }
            }
            return false;
        }

        /**//// <summary>
        /// 检查提交表单中是否存在SQL注入可能关键字
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestForm()
        ...{
            if (request.Form.Count > 0)
            ...{
                //获取提交的表单项不为0 逐个比较参数
                for (int i = 0; i < request.Form.Count; i++)
                ...{
                    //检查参数值是否合法
                    if (CheckKeyWord(request.Form[i]))
                    ...{
                        //存在SQL关键字
                        return true;

                    }
                }
            }
            return false;
        }

        /**//// <summary>
        /// 静态方法,检查_sword是否包涵SQL关键字
        /// </summary>
        /// <param name="_sWord">被检查的字符串</param>
        /// <returns>存在SQL关键字返回true,不存在返回false</returns>
        public static bool CheckKeyWord(string _sWord)
        ...{
            if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
                return true;
            return false;
        }

        /**//// <summary>
        /// 反SQL注入:返回1无注入信息,否则返回错误处理
        /// </summary>
        /// <returns>返回1无注入信息,否则返回错误处理</returns>
        public string CheckMessage()
        ...{
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()
            ...{
                msg = "<span style='font-size:24px;'>非法操作!<br>";
                msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"+ "<br>";
                msg += "操作时间:" + DateTime.Now + "<br>";
                msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
                msg += "<a href="#" οnclick="history.back()">返回上一页</a></span>";
            }
            return msg.ToString();
        }
    }
}

 
SAINO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
过滤SQL关键字,防止SQL注入
打酱油的男神
06-20 1万+
定义一个方法进行关键字的过滤,方法中使用正则表达式过滤:///&lt;summary&gt; /// 过滤字符串中注入SQL脚本的方法 ///&lt;/summary&gt; ///&lt;param name="source"&gt;传入的字符串&lt;/param&gt; ///&lt;returns&gt;过滤后的字符串&lt;..
ASP.NET防止SQL注入函数
04-02
ASP.NET防止SQL注入函数是开发安全Web应用程序的关键措施之一,主要目的是保护数据库不受恶意SQL语句的影响。SQL注入攻击是黑客常用的手段,通过输入含有恶意SQL命令的字符串,可能导致数据泄露、数据破坏甚至整个...
ASP.net防止SQL注入方法
Time_Lover的专栏
09-20 491
SqlConnection conn=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["conn"]); SqlCommand comm=new SqlCommand("update tb1 set vName=@vName,iAge=@iAge where ID=@id",conn); SqlP
.NET里面怎样防止SQL注入
harbour的专栏
07-24 1639
.NET防SQL注入方法 SQL语句 利用SqlCommand传参数的方法: string strSQL="SELECT * FROM [user] WHERE user_id=@id"; SqlCommand cmd = new SqlCommand(); cmd.CommandText = strSQL; cmd.Parameters.Add("@id",SqlDbType.V
ASP.NET防止Sql注入的解决方法
热门推荐
LisenYang的专栏
08-12 2万+
ASP.NET防止Sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。 做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。 一、数据验证类 以下是代码片段: parameterCheck.cs public class parameterCheck{ public static bool isEma
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
ASP.NET过滤类SqlFilter的目的是防止SQL注入攻击,这是一种常见的网络安全威胁。SQL注入允许恶意用户通过输入特殊构造的参数,使得后台系统执行非预期的SQL命令,从而可能获取敏感数据或破坏数据库。例如,如果一个...
ASP.NET编程知识】.Net防sql注入的几种方法.docx
05-15
ASP.NET编程中,SQL注入是一个严重的安全问题,它允许攻击者通过输入恶意SQL代码来操纵数据库。为了保护应用程序免受SQL注入攻击,开发者需要采取一系列的防御措施。以下是一些在.NET中防止SQL注入的方法: 1. **...
Asp.Net通用Sql防注入源码
06-06
Asp.Net开发中,SQL注入是一个非常重要的安全问题,它允许恶意用户通过输入特定的SQL语句来操控后台数据库,可能导致数据泄露、系统瘫痪甚至整个网站的安全性受到威胁。"Asp.Net通用Sql防注入源码"是针对这个问题...
asp.netSQL防注入过滤函数大集合
10-22
常用的asp.netSQL防注入过滤函数大集合,实用性很高! 执行效率不错!
(论坛答疑点滴)有关sql注入
03-12 1422
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078大家存在5点误区:1、sql注入比较难防,需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。2、忽略DropDownList传来的东西其实是不对的,一切客户端的东西都
国产精品ORM框架-SqlSugar详解 SqlSugar初识 附案例源码 专题一
cao919的专栏Net
07-13 698
国产精品ORM框架-SqlSugar详解 1、SqlSugar初识 2、开始实操 3、增删改操作 4、进阶功能 5优美的表达式、仓储、UnitOfWork、DbContext、AOP `代码先行,先有代码,然后有数据库,只关注业务,业务中的对象如果需要就直接创建实体,对应的数。简单易用、功能齐全、高性能、轻量级、服务齐全、官网教程文档、有专业技术支持一天18小时。支持 完整的SAAS一套应用 跨库查询 、租户分库 、租户分表 和 租户数据隔离。数据库的结构完全由代码来决定,数据库表--主键、自增,字段类型。
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
技术笔记
07-12 752
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
SQL笔试题【数据岗】
房东的猫的博客
07-11 303
题目 4:输出一张 dws 表,查询过去任意日期的曝光活跃用户的 7 日留存率,输出字 段日 期,用户 id,7 日留存率具体表结构如下表 1 用户行为表:t_user_video_action_d l分区:ds(格式 yyyyMMdd) l主键:user_id、video_id l含义:一个用户对一个视频的所有行为聚合,每天增量 字段名字段含义类型。题目 3:计算每个用户每天第一次曝光视频的时间戳,运行速度越快越好,输出字段 日期, 用户 id,时间戳。
【postgresql】视图(View)
一个写了10年bug的程序员日常笔记。
07-10 567
PostgreSQL 中的视图(View)是一种虚拟表,其内容由 SQL 查询定义。视图可以简化复杂的 SQL 操作,使得用户能够以一种更直观、更易于理解的方式来访问和操作数据。PostgreSQL 视图是只读的,因此可能无法在视图上执行 DELETEINSERT 或 UPDATE 语句。但是可以在视图上创建一个触发器,当尝试 DELETEINSERT 或 UPDATE 视图时触发,需要做的动作在触发器内容中定义。
SQL面试题-留存率计算
xiao4816的博客
07-07 407
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
最新发布
hackeroink的博客
07-15 540
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
asp中的引号规则,在asp中如何书写sql语句.pdf
11-26
...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值