SQL防注入

最新推荐文章于 2023-03-21 20:53:58 发布
最新推荐文章于 2023-03-21 20:53:58 发布
阅读量101 收藏
点赞数
原文链接:http://www.cnblogs.com/lijie007jh/archive/2012/06/24/2560084.html
版权
View Code 
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;

/// <summary>
///SQLInjectionHelper 的摘要说明
/// </summary>
public class SQLInjectionHelper
{
    public SQLInjectionHelper()
    {
        //
        //TODO: 在此处添加构造函数逻辑
        //
    }

    /// <summary>
    /// 验证请求数据
    /// </summary>
    public static bool ValidUrlData(String request)
    {
        bool result = false;
        //获取Post的数据
        if (request == "POST")
        {
            for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
            {
                result = ValidData(HttpContext.Current.Request.Form[i].ToString().ToLower());
                if (result)
                {
                    break;
                }
            }
        }
        else //获取QueryString中的数据
        {
            for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
            {
                result = ValidData(HttpContext.Current.Request.QueryString[i].ToString().ToLower());
                if (result)
                {
                    break;
                }
            }
        }

        return result;
    }

    /// <summary>
    /// 验证是否存在注入代码
    /// </summary>
    /// <param name="inputData">输入字符</param>
    /// <returns></returns>
    private static bool ValidData(String inputData)
    {
        //验证inputData是否包含恶意集合
        if (Regex.IsMatch(inputData, GetRegexString()))
        {
            return true;
        }
        else
        {
            return false;
        }
    }

    /// <summary>
    /// 获取正则表达式
    /// </summary>
    private static String GetRegexString()
    {
        //构造SQL的注入关键字符
        String[] strBadChar = {"and","exec","insert","select","delete","update","count","from",
                              "drop","asc","char","or","%",";",":","\'","\"","-","chr","mid","master",
                              "truncate","char","declare","SiteName","net user","xp_cmdshell","/add",
                              "exec master.dbo.xp_cmdshell","net localgroup administrators"};
        //构造正则表达式
        String str_Regex = ".*(";
        for (int i = 0; i < strBadChar.Length - 1; i++)
        {
            str_Regex += strBadChar[i] + "|";
        }
        str_Regex += strBadChar[strBadChar.Length - 1] + ").*";

        return str_Regex;
    }
}
 void Application_BeginRequest(Object sender, EventArgs e)
    {
        bool result = false;
        result = SQLInjectionHelper.ValidUrlData(Request.RequestType.ToUpper());
        if (result)
        {
            Response.Write("您提交的数据有恶意字符!");
            Response.End();
        }
    }

 

转载于:https://www.cnblogs.com/lijie007jh/archive/2012/06/24/2560084.html

alepm68846
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SqlHelpers:实用程序sqlhelpers避免sql注入
03-31
SqlHelpers:实用程序sqlhelpers避免sql注入
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
【黑马训练营】三层架构下的SqlHelper和调用——包含using释放机制,sql注入攻击,长度可变参数params
qixiang8902的专栏
01-01 681
---------------------- ASP.Net+Android+IOS开发、.Net培训、期待与您交流! ---------------------- 所有的数据库连接过程,都需要经历一个过程:即连接数据库,打开连接,进行业务操作,关闭连接,最后释放资源。每一次数据库操作都是这么一个过程,如果面向过程,则会写出大量的重复代码,因此我们可以把这个过程以面向对象的编程思维进
SqlParameter 注入 demo
zq爱生活爱代码的博客
02-27 139
using (SqlConnection con = new SqlConnection(SQLHelper.constr)) { ////测试,打开连接 ////3.打开连接(如果打开数据连接没有问题,表示连接成功) con.Open(); u...
一种通用SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2379
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
.net通用SQL注入漏洞程序(Global.asax方式)详细用法
xinshi9608的专栏
07-15 1864
大家对于SQL注入攻击一般都是采用SQL参数语句的办法,现在介绍一种在.net通用SQL注入漏洞程序(Global.asax方式)简易方法
简单了解Mybatis如何实现SQL注入
08-25
Mybatis实现SQL注入 Mybatis是当前流行的持久层框架之一,广泛应用于各种Java项目中。然而,在使用Mybatis时,开发者经常会遇到SQL注入问题,这是由于Mybatis使用了$和#两个不同的占位符来SQL注入。今天,...
易语言源码易语言SQL注入源码.rar
02-17
在这个“易语言源码易语言SQL注入源码.rar”压缩包中,包含的是易语言编写的关于SQL注入的源代码。SQL注入是一种常见的网络安全攻击手段,通过构造恶意的SQL语句,攻击者可以绕过身份验证,获取、修改、删除...
易语言SQL注入源码-易语言
06-13
本压缩包提供的是易语言实现的SQL注入源码,旨在帮助开发者构建安全的数据库访问层,止此类攻击。 SQL注入攻击的基本原理是利用程序对用户输入的数据未做充分检查或过滤,直接拼接到SQL查询语句中执行。例如,...
php简单实现sql注入的方法
12-18
本文将详细讲解如何使用PHP来简单实现SQL注入。 首先,PHP的`addslashes()`函数是SQL注入的基础。这个函数会在指定字符串中的预定义字符前添加反斜杠,这些字符包括单引号('),双引号("),反斜杠(\)和NULL。...
C# Global.asax文件里实现通用SQL注入漏洞程序(适应于post/get请求)
weixin_30808253的博客
03-23 210
可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查。 首先,创建一个SQLInjectionHelper类完成恶意代码的检查 using System; using Syste...
在Global.asax文件里实现通用SQL注入漏洞程序
qq_27915701的博客
04-08 949
首先,创建一个SQLInjectionHelper类完成恶意代码的检查 代码如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Web安全相关(五):SQL注入(SQL Injection)
weixin_30596023的博客
05-21 268
简介   SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。   根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了...
php global.asax 病毒,在Global.asax文件里实现通用SQL注入漏洞程序(适应于post/get请求)...
weixin_39738755的博客
04-02 171
首先,创建一个SQLInjectionHelper类完成恶意代码的检查代码如下:using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Text.RegularExpressions;/// ///SQLInjectionHelper 的摘要说明/// public ...
怎么SQL注入
最新发布
。。。。
03-21 7078
SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
sql注入
弱水三千 只取一韶
03-08 1748
SQL注入入门详解 =============安全性篇目录==============   毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。 (对于sql注入的攻,我只用过简单拼接字符串的注入及参数化查询,可
nodejs实现sql注入
03-20
可以使用参数化查询来SQL 注入攻击。在 Node.js 中,可以使用 mysql 模块来实现参数化查询。以下是一个示例代码: ```javascript const mysql = require('mysql'); const connection = mysql.createConnection({ host: 'localhost', user: 'root', password: 'password', database: 'mydb' }); const username = 'admin'; const password = 'password123'; const sql = 'SELECT * FROM users WHERE username = ? AND password = ?'; const values = [username, password]; connection.query(sql, values, (error, results, fields) => { if (error) throw error; console.log(results); }); connection.end(); ``` 在上面的代码中,我们使用了参数化查询来查询用户名和密码是否匹配。注意,我们在 SQL 查询中使用了占位符 `?` 来代替变量,然后将变量的值存储在一个数组中,传递给 `connection.query()` 方法。这样可以SQL 注入攻击,因为任何恶意的 SQL 代码都会被当作字符串来处理,而不是被执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值