EntityFrameWork+MVC防SQL注入

最新推荐文章于 2021-02-11 11:01:38 发布
最新推荐文章于 2021-02-11 11:01:38 发布
阅读量219 收藏
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/Yuuuuu/p/7830989.html
版权

EntityFrameWork(以后简称EF)作为一款ORM非常的实用,能够大幅度的提高开发速度,但是EF的实质也是sql语句,同样需要防sql注入,在这里利用过滤器的特性来实现过滤特殊字符。

1.首先是过滤的代码

 1 public class SqlFilterAttribute : FilterAttribute, IActionFilter
 2     {
 3 
 4         public void OnActionExecuted(ActionExecutedContext filterContext)
 5         {
 6             throw new NotImplementedException();
 7         }
 8 
 9         public void OnActionExecuting(ActionExecutingContext filterContext)
10         {
11             //获得action的参数
12             var actions = filterContext.ActionDescriptor.GetParameters();
13 
14             //遍历所有的参数
15             foreach (var action in actions)
16             {
17                 if (action.ParameterType == typeof(string))
18                 {
19                     if (filterContext.ActionParameters[action.ParameterName] != null)
20                     {
21                         filterContext.ActionParameters[action.ParameterName] = SqlFilter(filterContext.ActionParameters[action.ParameterName].ToString());
22                     }
23                 }
24             }
25         }
26 
27         private const string SQL_FILTER_STRINGS = "=,',:, or ,select,update,insert,delete,declare,exec,drop,create,%,--";
28 
29         /// <summary>
30         /// 过滤字符串
31         /// </summary>
32         /// <param name="filterStr"></param>
33         /// <returns></returns>
34         private string SqlFilter(string filterStr)
35         {
36             if (!string.IsNullOrEmpty(filterStr))
37             {
38                 foreach (var item in SQL_FILTER_STRINGS.Split(','))
39                 {
40                     //替换掉特殊字符
41                     filterStr = filterStr.ToLower().Replace(item, "");
42                 }
43             }
44             return filterStr;
45         }
46     }

2.调用sql过滤

public class DefaultController : Controller
    {
        // GET: Default
        public ActionResult Index()
        {
            return View();
        }

        [HttpPost]
        [SqlFilter]
        public ActionResult Index(string s)
        {
            return View();
        }
    }

测试之后发现要求过滤的字符确实被过滤掉了。

转载于:https://www.cnblogs.com/Yuuuuu/p/7830989.html

aining2608
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# MVC 过滤器SQL注入
09-15
C# MVC 过滤器SQL注入
Entity Framework关于SQL注入安全问题
weixin_34270606的博客
12-14 324
1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx   范 SQL 注入式攻击。 应用程序经常接受外部输入(...
EF自带SQL注入 FromSqlInterpolated方法——无法查询BUG
许未未的专栏
12-29 3167
项目场景: 项目场景:项目使用.net core EF做SQL查询,为了懒省事儿,使用EF自带SQL注入方法:FromSqlInterpolated 。 问题描述: 发现屏蔽了like %查询使得无法查询出数据! APP 中接收数据代码: @Override public void run() { string name='张三'; FormattableString fstr=$@"select * from staff where I
EF Core 2.0 执行原始查询如何SQL注入
weixin_30307921的博客
03-19 527
using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky Wang"; FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {se...
sql注入pythonpoco_.NET EF(Entity Framework)详解
weixin_36371504的博客
02-11 280
一丶Entity Framework(一)EF简介(1)ORM:Object Relation Mapping ,通俗说:用操作对象的方式来操作数据库。(2)插入数据库不再是执行Insert,而是类似于Person p = new Person();p.Age=3;p.Name=“英莱特”;db.Save§;这样的做法。(3)ORM工具有很多Dapper、PetaPoco、NHibernate,最...
entity framework +Asp.net mvc 3.0 示例
08-26
Entity Framework (EF) 是微软提供的一款强大的对象关系映射(ORM)框架,它允许开发者使用.NET语言(如C#或VB.NET)来操作数据库,而无需编写大量的SQL语句。结合Asp.Net MVC 3.0,这个技术栈为开发高效、可维护的...
asp.net core6 MVC+SqlServer例子
01-12
在ASP.NET Core 6 MVC应用中,可以使用Entity Framework Core (EF Core)作为ORM(对象关系映射)工具来与SQL Server进行交互。EF Core允许开发者使用C#对象和属性来操作数据库表,简化了数据库操作的复杂性。在这个...
ASP.NETSQL注入的方法示例
01-20
在ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
entity framework+autofac+ioc
06-08
Entity Framework (EF) 是微软开发的一个对象关系映射(ORM)框架,它允许开发者使用.NET语言(如C#或VB.NET)来操作数据库,而无需深入理解底层SQL语句。EF使得开发人员能够以面向对象的方式处理数据,提高了开发...
MVC5+EF6依赖注入开发利器
05-05
Entity Framework 6(EF6)是Microsoft的一个对象关系映射(ORM)工具,允许开发人员使用.NET语言来操作数据库,而无需编写大量的SQL语句。EF6提供了一个强大的数据访问层,支持LINQ查询、自动跟踪更改、代码优先和...
Entity Framework直接执行SQL语句
萌萌的It人 www.itmmd.com
06-10 7865
一般来说linq在EF中满足了绝大部分的查询需求,而插入、删除则需要根据实体来操作,在一些情况下会造成一些麻烦。 比如现在有这样的关系: 它在数据库中生成的表:   那么在实体对象上下文如果想直接操作某些Product与Category的关联时将麻烦不少,因为不能在EF下直接操作ProductCategory中间表。那么这时直接执行SQL语句来添加、删除两者之间关系会好上不少。我便是这样
EntityFramework Core 2.0执行原始查询如何SQL注入
weixin_34238642的博客
02-27 409
前言 接下来一段时间我们来讲讲EntityFramework Core基础,精简的内容,深入浅出,希望为想学习EntityFramework Core的童鞋提供一点帮助。 EntityFramework Core执行原始查询 在EntityFramework Core中执行原始查询我们借助FromSql来实现,如下: using (var context = n...
C# Entity Framework 依赖注入
zxcvb036的博客
11-21 444
using System; using System.Collections.Generic; using System.ComponentModel.DataAnnotations; using System.ComponentModel.DataAnnotations.Schema; using System.Text; namespace ConsoleApp6 { [Table("Books")] public class Book { public int
MVC5 Entity Framework学习之Entity Framework高级功能
Johnson的专栏
10-26 6101
在之前的文章中,你已经学习了如何实现每个层次结构一个表继承。本节中你将学习使用Entity Framework Code First来开发ASP.NET web应用程序时可以利用的高级功能。 在本节中你将重用之前已经创建的页面,接下来你需要新建一个页面并使用原始SQL来批量更新数据库中所有Course的学分。 在Department Edit页面中添加新的验证逻辑并使用非跟踪查询。 执行原始SQL查询 Entity FrameworkCode First API包含有可以让你直接向数据库发送SQL命令的方法
EF中sql注入
bangzhaigui5960的博客
12-19 905
EF作为一个orm框架,本身以及放置了sql的注入,但是如果我们需要执行sql语句的时候了?比如,我们需要查询视图"select * from VM where 条件 = {0}",此时,sql是可以注入的 那么,我们该如何止注入呢?在论坛找到一个方法,收藏下,哈哈 function bool SS(string no) { try{ string sql = "sele...
sqlserver 在高并发的select,update,insert的时候出现死锁的解决办法
weixin_43490683的博客
04-22 8813
最近在使用过程中使用SqlServer的时候发现在高并发情况下,频繁更新和频繁查询引发死锁。通常我们知道如果两个事务同时对一个表进行插入或修改数据,会发生在请求对表的X锁时,已经被对方持有了。由于得不到锁,后面的Commit无法执行,这样双方开始死锁。但是select语句和update语句同时执行,怎么会发生死锁呢?看完下面的分析,你会明白的… 首先看到代码中使用的查询的方法Select [csh...
.NET SQL注入护全面指南
6. 使用ORM(对象关系映射)工具:例如Entity Framework等,它们在底层处理SQL查询,通常能更好地SQL注入,因为它们会自动参数化查询。 7. 最小权限原则:确保应用程序连接数据库的用户账户只有执行所需操作的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值