防注入组件的编写 (asp.net C#)

最新推荐文章于 2024-07-12 14:40:17 发布
最新推荐文章于 2024-07-12 14:40:17 发布
阅读量358 收藏
点赞数
分类专栏: .net 文章标签: asp.net c# string 代码分析 application null
 

       经常要写一些.net的程序,对于数据库的防注入要求要比较高。这时我从网上搜了一些代码。查看了一下主要是通过HTTPModel来进行对客户端转过来的数据进行处理。
       在服务器安全栏目里我写过一篇《破解通用Sql防注入方法》的文章中说到,一些通用的防注入方法中没有对cookie数据进行过滤,会给黑客留下可乘之机。当然我的这段代码对提交过来的cookie数据也进行了过滤。

代码:

using System;
using System.Configuration;
using System.Web;
using System.Globalization;
namespace JNYW.StuM.SqlInject
{
    public class SqlstrAny : IHttpModule
    {       
        public void Init(HttpApplication application)
        {
            application.BeginRequest += (new
            EventHandler(this.Application_BeginRequest));
        }
        private void Application_BeginRequest(Object source, EventArgs e)
        {          
            ProcessRequest pr = new ProcessRequest();
            pr.StartProcessRequest();
        }
        public void Dispose()
        {
        }
     }

     public class ProcessRequest
     {
         private static string SqlStr = System.Configuration.ConfigurationManager.AppSettings["SqlInject"].ToString();
         private static string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["SQLInjectErrPage"].ToString();
         ///
         /// 用来识别是否是流的方式传输
         ///
         ///
         ///
         bool IsUploadRequest(HttpRequest request)
         {
             return StringStartsWithAnotherIgnoreCase(request.ContentType, "multipart/form-data");
         }
         ///
         /// 比较内容类型
         ///
         ///
         ///
         ///
         private static bool StringStartsWithAnotherIgnoreCase(string s1, string s2)
         {
             return (string.Compare(s1, 0, s2, 0, s2.Length, true, CultureInfo.InvariantCulture) == 0);
         }
        
        //SQL注入式攻击代码分析
         #region SQL注入式攻击代码分析
         ///
         /// 处理用户提交的请求
         ///
         public void StartProcessRequest()
         {
             HttpRequest Request = System.Web.HttpContext.Current.Request;
             HttpResponse Response = System.Web.HttpContext.Current.Response;
             try
             {
                 string getkeys = "";
                 if (IsUploadRequest(Request)) return; //如果是流传递就退出
                  //字符串参数
                 if (Request.QueryString != null)
                 {
                     for (int i = 0; i < Request.QueryString.Count; i++)
                     {
                         getkeys = Request.QueryString.Keys[i];
                         if (!ProcessSqlStr(Request.QueryString[getkeys]))
                         {
                             Response.Redirect(sqlErrorPage + "?errmsg=QueryString中含有非法字符串&sqlprocess=true");
                             Response.End();
                         }
                     }
                 }
                 //form参数
                 if (Request.Form != null)
                 {
                     for (int i = 0; i < Request.Form.Count; i++)
                     {
                         getkeys = Request.Form.Keys[i];
                         if (!ProcessSqlStr(Request.Form[getkeys]))
                         {
                             Response.Redirect(sqlErrorPage + "?errmsg=Form中含有非法字符串&sqlprocess=true");
                             Response.End();
                         }
                     }
                 }
                 //cookie参数
                 if (Request.Cookies != null)
                 {
                     for (int i = 0; i < Request.Cookies.Count; i++)
                     {
                         getkeys = Request.Cookies.Keys[i];
                         if (!ProcessSqlStr(Request.Cookies[getkeys].Value))
                         {
                             Response.Redirect(sqlErrorPage + "?errmsg=Cookie中含有非法字符串&sqlprocess=true");
                             Response.End();
                         }
                     }
                 }
             }
             catch
             {
                 // 错误处理: 处理用户提交信息!
                  Response.Clear();
                 Response.Write("CustomErrorPage配置错误");
                 Response.End();
             }
         }
          
         ///
         /// 分析用户请求是否正常
         ///
         /// 传入用户提交数据
         /// 返回是否含有SQL注入式攻击代码
          private bool ProcessSqlStr(string Str)
         {
             bool ReturnValue = true;
             try
             {
                 if (Str != "")
                 {
                     string[] anySqlStr = SqlStr.Split('|');
                     foreach (string ss in anySqlStr)
                     {
                         if (Str.IndexOf(ss) >= 0)
                         {
                             ReturnValue = false;
                             break;
                         }
                     }
                 }
             }
             catch
             {
                 ReturnValue = false;
             }
             return ReturnValue;
         }
         #endregion
     }
}


在实际使用时,我们要在Web.config文件中的配置节中加上下面的代码

以下是示例代码:

    <!--防注入设置-->
     <add value="and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare " key="SQLInject" />
    <add value="ShowErr.aspx" key="SQLInjectErrPage" />

并且在Web.Config文件的<SYSTEM.WEB>中再加上下面的代码。 以下是示例代码:

      <!--防注入设置-->
      <HTTPMODULES>
           <aDD name="SqlstrAny" type="JNYW.StuM.SqlInject.SqlstrAny,SqlstrAny" />
      </HTTPMODULES>

bentonite
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlhelper1.1 asp.net(C#)
03-16
标题中的"sqlhelper1.1 asp.net(C#)"指的是一个基于C#语言的ASP.NET应用程序,它包含了一个名为SqlHelper的辅助类库。SqlHelper是.NET开发中常见的一种工具,用于简化数据库操作,尤其是SQL Server的数据访问。这个...
(转).Net程序如何止被注入(整站通用)
jackyrongvip的专栏
06-07 763
作者:淘特网 出处:淘特网注:转载请注明出处止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(st
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6457
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
C#注入式攻击的方法
linshichen的专栏
07-14 1872
public bool Exists(int ID) { StringBuilder strSql=new StringBuilder(); strSql.Append("select count(1) from T_AfterSaleCustomer"); strSql.Append(" where ID=@ID "); SqlParameter[] parameters = { n
C#SQL注入代码的实现方法
weixin_30718391的博客
01-18 649
  对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:...
c# asp.net
10-11
C#作为ASP.NET的主要编程语言,提供了一种类型安全、面向对象的方式来编写代码。 描述 "通过权限角色管理实现信息安全化管理" 提到了一个关键概念——权限角色管理。在Web应用开发中,权限角色管理是一个重要的安全...
wangluotoupiao.rar_ASP 投票系统_asp.net C#_在线投票_投票
09-22
1. **ASP.NET Web Forms**:ASP.NET Web Forms是ASP.NET框架的一部分,它允许开发者通过拖放控件和事件驱动编程模型来构建交互式的Web页面。在这个投票系统中,可能会使用到各种控件,如Button(用于提交投票)、...
基于ASP.NET企业在线记账平台源码.zip
05-25
- C#:作为ASP.NET的核心语言,C#是构建此类平台的主要编程语言。它具有类型安全、面向对象的特性,支持.NET框架,使得开发者能快速开发出稳定且高效的代码。 - PHP:虽然主要使用ASP.NET,但提及PHP可能意味着...
ASP.NET MVC项目源代码设计资料
06-08
6. **测试(Testing)**:由于MVC架构的分层特性,ASP.NET MVC项目易于编写单元测试和集成测试。开发者可以使用如NUnit、Moq或xUnit等测试框架来确保代码质量。 7. **Oxite项目**:在提供的文件列表中,"Oxite"可能...
c#注入方法
weixin_42479155的博客
06-28 2223
版权声明:原创博文,转载请标注链接!!! https:/...
MVC 如何止XSS、SQL注入攻击
Java_c#
04-19 3233
在Web项目中,通常需要处理XSS,SQL注入攻击。(过滤特殊字符) 解决这个问题有两个思路: 1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 2、在显示的时候对非法字符进行转义 代码: /// <summary> /// 对转义字符进行处理 /// 左尖括号: < &lt; /// 右尖括...
AOP实践--ASP.NET MVC 5使用Filter过滤Action参数止sql注入,让你代码安全简洁
rise51的专栏
04-17 9161
在开发程序的过程中,稍微不注意就会隐含有sql注入的危险。今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数止sql注入,让你代码安全简洁。不用每下地方对参数的值都进行检查,看是用户输入的内容是否有危险的sql。如果没个地方都要加有几个缺点: 1、工作量大 2、容易遗漏 3、不容易维护 下面我通过写一个过滤止sql的特性类,对Action执行前对
ASP.NET MVC4/5 - Ajax 止 CSRF攻击
weixin_30660027的博客
12-24 239
前言 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。本文使用ASP.NET MVC提供的AntiForgery进行安全验证 应用 一、自定义FilterAttribute过滤器 1 /// <summary&...
asp.netWebForm(.netFramework) CSRF漏洞
qq_43893277的博客
07-09 335
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的 Web 应用程序安全漏洞,攻击者通过诱使已认证用户在受信任的网站上执行恶意操作,从而利用用户的身份执行未经授权的操作。攻击者通常会在第三方网站上植入恶意代码或链接,当用户访问这些网站时,恶意请求会被发送到目标网站,利用用户的身份执行操作,如更改密码、转账等。CSRF 漏洞可能导致以下安全问题:未经授权的操作:攻击者可以利用 CSRF 漏洞执行未经授权的操作,如更改用户密码、删除账户等。
【框架】ABP(ASP.NET Boilerplate Project)
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
07-09 539
ABP架构是“ASP.NET Boilerplate Project”(ASP.NET样板项目)的简称,它是一个基于领域驱动设计(DDD)的开源应用程序框架,支持.NET Framework和.NET Core。ABP旨在成为开发现代WEB应用程序的新起点,通过提供最佳实践和流行技术,帮助开发者快速构建和扩展应用程序。
ASP.NET MVC Lock锁的测试
y523648的博客
07-09 297
思路:我们让后台Thread.Sleep一段时间,来模拟一个耗时操作,而这个时间可以由前台提供。我们开启两个或以上的页面,第一个耗时5秒(提交5000),第二个耗时1秒(提交1000)。同样的方法,再次提交。这次会发现第二个页面会等待,直到第一个页面执行完成后才执行。加了Lock锁,第二个页面会一直等待,直到第一个页面执行完成后再进行。不加Lock锁,第二个页面会先执行完,因为耗时短(1秒)。然后开两个页面,第一个5秒,第二个1秒,同时提交。发现第二个页面先执行完毕了,因为耗时最短。
数据结构之单链表在不带标准头的情况下C,C#,C++分别怎么实现?
最新发布
qq_35320456的博客
07-12 196
数据结构是计算机科学中非常重要的一部分,它帮助我们理解和操作数据。单链表是数据结构中的一种基本类型,它由一系列节点组成,每个节点包含数据域和指向列表中下一个节点的指针。在本文中,我们将详细讨论单链表的概念、操作和如何在几种常见的编程语言中实现它。
【C++】设计一套基于C++与C#的视频播放软件
kewaqi618的博客
07-08 928
功能:支持多种视频格式播放,自动检测并解码。实现:在后端VideoPlayer类中,通过调用VideoDecoder的解码功能,将解码后的视频帧传递给前端。然而,在C++/C#混合编程中,直接传递视频帧数据可能较为复杂且效率低下,因为C#无法直接处理C++中的内存分配。因此,一种常见的做法是在C++中处理视频解码,并将解码后的帧数据(如YUV或RGB格式)转换为字节流或图像文件(如BMP),然后通过文件共享、内存映射文件或网络传输等方式传递给C#前端。
asp.net c# 开发笔记
03-04
此外,ASP.NET Core 还引入了一些新的特性,比如全新的依赖注入机制,以及更先进的路由规则和中间件机制。这些新特性大大简化了开发过程,使得开发者可以更快速、更高效地构建出高质量的 web 应用程序。 ASP.NET ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值