Page.OnPreLoad 方法对系统注入漏洞进行弥补

最新推荐文章于 2022-09-08 16:39:11 发布
最新推荐文章于 2022-09-08 16:39:11 发布
阅读量533 收藏
点赞数
分类专栏: asp.net webform 文章标签: SQL注入 WebForm OnPreLoad
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yubu_/article/details/72417065
版权


本来开发的是一个内部使用的系统(WebForm项目),对安全性没有较多考虑,Sql注入漏洞这种常见的问题也没有考虑,罪过大了~~更要命的是,突然有一天系统要对外开放,有外部人员需要使用这个系统了,想想所有的Sql语句都是通过字符串拼接的方式写成的~~~


虽然是一个很少人用的系统,但是必须对SQL注入问题进行弥补。要是此时对Sql语句全部重写,工作量太大。

然后就想找过滤器这种东西,但是对WebForm理解真的很肤浅,也没有找到WebForm过滤器方面的资料。所幸系统的所有页面都有一个基类BasicClass,就想通过BasicClass,对用户输入数据进行筛查过滤。  BasicClass只写了一个方法  protected override void OnInit(EventArgs e),在方法里面调试发现,页面的控件还没有加载,晕死,WebForm真的很难懂~~


最后在System.Web.UI.Page里面找到了一个方法Page.OnPreLoad,看文档解释:在回发数据已加载到页服务器控件之后但在 OnLoad 事件之前,引发 PreLoad 事件。OnPreLoad 方法在从用户返回的所有回发数据都已加载后调用。在页生命周期的此阶段中,已声明控件和在初始化阶段创建的控件的视图状态信息和回发数据都被加载到页的控件中。


看这意思,应该是有用的,于是就在BasicClass里面重写这个方法


        protected override void OnPreLoad(EventArgs e)
        {
            foreach (Control control in this.Form.Controls)
            {
                if (control is TextBox)
                {
                    TextBox textbox = (TextBox)control;
                    if (textbox.Text.Trim().Length>0)
                    {                        
                        string strFilterWord = @"|and|exec|insert|select|delete|update|count|*|%|
                                                    chr|mid|master|truncate|char|declare|;|or|'|--";
                        string[] strWords = strFilterWord.Split(new char[] { '|' }, StringSplitOptions.RemoveEmptyEntries);
                        textbox.Text = string.Join("", textbox.Text.Split(strWords, StringSplitOptions.RemoveEmptyEntries));
                    }       
                }
            }
        }


Eichee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net页面事件执行顺序
Mark的专栏
12-27 691
 using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.WebControls; using System.Web.UI.Web
kkRoute:一个简单的路由系统 for kk
06-11
一个简单的路由系统 for kk 约定 路由地址是类似路径的字符串,必须以/开头,不能以/结尾。如/,/a/b合法;``,/a/b/不合法。 一个路由地址只能对应一个处理器对象(handle) 处理器对象必须提供三个方法:onPreload,...
ASP.NET Page执行顺序如:OnPreInit()、OnInit()(转)
weixin_30715523的博客
12-09 138
转:http://www.cnblogs.com/yeminglong/archive/2012/10/16/2725664.html 当页面进行回发时,如点击按钮,以上事件都会重新执行一次,这时的执行顺序为:1. OnPreInit2. OnInit3. OnInitComplete4. OnPreLoad5. Page_Load6. OnLoad7. Button_Click8. O...
asp.net 的page 基类页面 做一些判断 可以定义一个基类页面 继承Page类 然后重写OnPreLoad事件...
weixin_33851177的博客
07-28 243
        public class BasePage:Page protected override void OnPreLoad(EventArgs e){     base.OnPreLoad(e);     .................. }   这样 就可以在基类页面 统一做一些判断了  ...
OWASP-TOP10漏洞-注入漏洞
最新发布
weixin_44770698的博客
09-08 1183
OWASP TOP10 漏洞注入漏洞学习(一)
Android代码-Kotlin-Link-Parser
08-06
Kotlin Link Parser Here is our implementation of Link Preview written in Kotlin with RxKotlin2 Usage Include the library as local library project. ...crawler.onPreload { // Do something } To start
图片旋转、鼠标滚轮缩放、镜像、切换图片js代码
11-24
在网页开发中,对图片进行操作是常见的需求,例如旋转、缩放、镜像以及切换图片等。这些效果可以通过JavaScript实现,结合HTML和CSS,为用户提供丰富的交互体验。本文将围绕如何使用JavaScript实现这些功能进行详细...
asp.net 生命周期
01-07
ASP.NET框架基于控件树动态地创建一个继承自`System.Web.UI.Page`的类。这个类包含了所有页面逻辑和控件的定义。这个过程使得开发者可以自定义Page类的行为,例如重写生命周期方法。 3. **动态编译类**: 创建的...
OnPreInit,OnInit ,OnInitComplete ,OnPreLoad ,Page_Load等执行顺序
weixin_30776545的博客
12-19 168
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; public partial class Default5 : System.Web.UI.Page ...
【第1159期】CSS预加载Preload
前端早读课
01-05 4674
前言看天气预报,今天好多地方都开始下雪了。今日早读文章由@李斌分享。正文从这开始~Preload 作为一个新的web标准,旨在提高性能和为web开发人员提供更细粒度的加载控制。Preload使开发者能够自定义资源的加载逻辑,且无需忍受基于脚本的资源加载器带来的性能损失。在 HTML 代码中,它看上去大概是下面这样的一段声明式获取指令(declaratiev fetch directive)。 re
注入漏洞详解
工程师学徒AYG
12-01 2607
注入漏洞 注入漏洞 1 SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。 1.1 SQL注入的概念 (1)SQL注入漏洞原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这...
php过滤注入变量
flynetcn的专栏
11-02 2209
php//如果环境是php5并且屏蔽了长格式的预定义变量,就进行模仿长格式预定义变量。if (@phpversion() >= 5.0.0 && (!@ini_get(register_long_arrays) || @ini_get(register_long_arrays) == 0 || strtolower(@ini_get(register_long_arrays
如何绕过WAF进行sql注入
baidu_23564015的博客
05-26 1964
如何绕过WAF进行sql注入 原创 2016-05-26 思成 库安全 关于SQL注入 SQL注入是一种常见的入侵WEB应用的手法。SQL注入是利用应用系统的编程漏洞和SQL语言的语法特征,改变原始的SQL语句执行逻辑而产生的。 攻击者向Web应用发送精心构造的输入数据,这些输入中的一部分被解释成SQL指令,改变了原来的正常SQL执行逻辑,执行了攻击者发出的SQL命令,
SQL注入漏洞攻防必杀技
柯兄技术博客
04-25 1万+
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入原理导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,他的原理并不复杂。引 言   随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由
命令注入漏洞
热门推荐
liuy_uzhi的博客
07-30 1万+
1、注入:通过web程序在服务器上拼接系统命令。 2、命令注入的三个条件   3、windows下链接命令的符号:&&、&、|、||命令拼接符号的区别 4、命令注入的攻击过程 5、渗透技巧: (1)不推荐黑名单解决漏洞;如果使用黑名单过滤了敏感命令怎么办? 命令中可以加入双引号绕过敏感命令(此时黑名单很难匹配) (2)如果不显示输出结果怎么办? ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值