HttpModule防sql注入

最新推荐文章于 2024-04-22 08:56:13 发布
最新推荐文章于 2024-04-22 08:56:13 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: Asp.Net 文章标签: httpmodule sql string asp.net insert null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bitou_von/article/details/4160722
版权

       现在有很多的网站,在用户注册的时候,都会提示不要输入什么特殊符号等,因为我们用户注册的信息最终都会保存到数据库中,所有有时候对一些sql关键字要进行限制。如果我们不进行限制,被有恶意的人注意到打话,那么就可能对我们的网站产生威胁。我写的这个小程序,就是一个简单的防SQL注入的方法。

       首先需要明白SQL注入是什么。简单的说SQL注入就是利用SQL关键字对网站进行恶意攻击。怎么样防,我们就还要对我们asp.net处理Http请求的过程作一个了解,首先我们的程序得到一个请求的时候,第一个会经过Http运行时,即编译过程,在这里我们的请求会被转化为机器懂的语言。下一个,我们的请求经过不同的HttpModule,即我们的Http模块。事实上,我们的请求到达模块时系统没有对这个请求做任何的处理,也就是说此时对于请求来讲,模块是一个请求的“必经之路”。我们的模块可以在这个Http请求到达真正的处理中心(HttpHandler)之前,针对这个Http请求做一些额外的工作,或者在某些情况下干脆终止满足一些条件的Http请求,从而起到一个过滤器的作用。在经过我们的模块之后,我们的Http请求才到达真正的处理中心(HttpHandler)。Http请求在经过处理之后,原路返回,经过模块,经过运行时,返回到客户端。

       那么既然我们的请求无论如何都会经过HttpModule,那么我们的一些判断(如是否有SQL关键字等)能否在此进行呢?答案当然是肯定的!基本概念我们都清楚了,下面就来看看代码吧!

      具体做法是:我们建立一个类继承自IHttpModule,既然继承自接口,当然就要实现接口中的方法。在IHttpModule中需要实现两个方法,一个是dispose方法,一个是Init方法。我们只要实现后者就可以了。

在Init方法中,我们需要定义一个委托,委托调用实现我们具体的过滤关键字的方法。

 public void Init(HttpApplication context)
        {
            //在此方法中调用一个委托

            //context_AcquireRequestState为委托的方法
            context.BeginRequest += new EventHandler(context_AcquireRequestState);
        }

 

        /// <summary>
        /// 委托中的方法

        /// </summary>
        /// <param ></param>
        /// <returns></returns>

private void context_AcquireRequestState(object sender, EventArgs e)
        {

           //一定要将sender对象的Context转化为HttpContext的对象

           //其中包含请求的基本对象,如request,response等
            HttpContext context = ((HttpApplication)sender).Context;

           //错误处理的页面,里面可以是一个温馨提示
            string errorPage = "~/Error.aspx";
            string keys = "";       //保存传参过来的键值
            string values = "";    //保存传参过来的值
            //我们的请求可以是多种形式的,如表单提交,url传值等

            //我们就要对各种情况分类处理

            //如果是url传参传过来的情况
            if (context.Request.QueryString != null)
            {
                for (int i = 0; i < context.Request.QueryString.Count; i++ )
                {
                    //得到键值
                    keys = context.Request.QueryString.Keys[i];
                    //得到值
                    values = context.Server.UrlDecode(context.Request.QueryString[keys]);
                    //如果有非法字符串,则跳转到错误提示页面
                    if (!this.ProcessSqlStr(values))
                    {
                        context.Response.Redirect(errorPage);
                        context.Response.End();
                        break;
                    }
                }
            }
            //如果是表单提交过来打值
            if(context.Request.Form != null)
            {
                for (int i = 0; i < context.Request.Form.Count; i++ )
                {
                    keys = context.Request.Form.Keys[i];
                    values = context.Server.HtmlDecode(context.Request.Form[i]);
                    if (keys == "__VIEWSTATE") continue;
                    //如果有非法字符串,则跳转到错误提示页面
                    if (!this.ProcessSqlStr(values))
                    {
                        context.Response.Redirect(errorPage);
                        context.Response.End();
                        break;
                    }
                }
            }
        }

        /// <summary>
        /// 截取字符串的方法
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        private bool ProcessSqlStr(string str)
        {
            bool returnValue = true;
            try
            {
                if (str.Trim()  != "")
                {
                    //非法字符串,可以写在配置文件中,易于修改
                    string sqlStr = "declare|exec|varchar|cursor|begin|open|drop|creat|select|truncate|int|view|procudure|insert|alter";
                    //将字符串用|分割为数组
                    string[] sqlStrs = sqlStr.Split('|');
                    foreach (string ss in sqlStrs)
                    {
                        //判断字符串中是否有上述字符数组中的项
                        if (str.ToLower().IndexOf(ss) >= 0)
                        {
                            //如果有非法字符,返回false
                            returnValue = false;
                            break;
                        }
                    }
                }
            }
            catch
            {
                returnValue = false;
            }
            return returnValue;
        }

 

 

 

在我们的代码实现完之后,一定不要忘了在web.config文件中,写下这样的配置信息

在<system.web>节点下的

<httpModules>

        <add name="名字(可随意定义)" type="类名"/>(可以写多个add,指定不同的处理类型)

 </httpModules>

 

注意:如果你建立的是一个web应用程序的话,那么type="命名空间.类名.程序集名称"

Bitou_Von
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
asp.net利用HttpModule实现sql注入
10-29
关于sql注入,已经被很多人讨论过了。这篇没有新意功能也不够通用,nnd,不想引起口水,就是觉得简单而且思路有参考性才贴出来。
1、SQL注入模块——DVWA
qwsn
01-20 2661
0x01、DVWA环境的搭建(Linux版本)(用到了VMwareworkstations)
SQL注入不完全思路与注入程序
雪候鸟
08-31 1002
SQL注入不完全思路与注入程序<一>SQL注入简介  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。  <二>SQL注入思路  思路最重要。其实好多人都不知道SQL到底能做什么呢
使用HttpModule实现sql注入
whaxrl的专栏
02-12 1038
使用HttpModule实现sql注入的原因   asp.net处理Http请求时,程序得到一个请求的时候,第一个会经过Http运行时,即编译过程,在这里我们的请求会被转化为机器懂的语言。下一个,我们的请求经过不同的HttpModule,即Http模块。事实上,我们的请求到达模块时系统没有对这个请求做任何的处理,也就是说此时对于请求来讲,模块是一个请求的“必经之路”。   模块可以在这个
利用HttpModule实现sql注入
weixin_33711641的博客
02-25 86
http://s.sams.cnblogs.com/articles/377924.html sql注入是被谈的很多的一个话题,有很多的方法能够实现sql注入,在这里就简单说一下如果使用HttpModule来实现sql注入。 下载:http://files.cnblogs.com/zhengxiqiang/sqlhttpmodule.rar 在项目中添加一个类让其实现IHtt...
配置拦截器xss和sql注入
香菇猫的博客
11-19 6443
web项目sql注入
HttpHandler HttpModule入门篇
10-29
ASP.Net处理Http Request时,使用Pipeline(管道)方式,由各个HttpModule对请求进行处理,然后到达 HttpHandler,HttpHandler处理完之后,仍经过Pipeline中各个HttpModule的处理,最后将HTML发送到客户端浏览器中。
Mvc动态注册HttpModule详解
10-20
本文主要介绍了Mvc动态注册HttpModule的方法。具有很好的参考价值,下面跟着小编一起来看下吧
Community Server专题三:HttpModule
10-31
Community Server专题三:HttpModule
PHP HTTP header注入,PHP止XSS注入解决方案大全
weixin_31366207的博客
03-13 328
PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数2.htmlentities函数3.HTMLPurifier.auto.php插件4.RemoveXss函数PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输...
sql注入的方法
qq_36031634的博客
09-06 3056
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
通过HttpModulehttpHandlersSQL注入式攻击
灵雨飘零的专栏
07-27 102
1、通过HttpModuleSQL注入式攻击,适用于.net1.1程序(1)新建类文件SqlHttpModule.cs,具体代码类似如下: using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Security; using System.We...
如何在PostgreSQL中创建并使用窗口函数来进行复杂的分析查询?
最新发布
墨松笔记
04-22 901
窗口函数是 PostgreSQL 中一个非常强大的特性,它们允许用户对查询结果的每一行执行复杂的计算。通过了解窗口函数的基本概念、常用的窗口函数以及如何使用它们,您可以执行各种复杂的分析查询并生成有价值的报告。上述示例只是窗口函数应用的冰山一角,实际上窗口函数可以与其他 SQL 特性(如连接、子查询等)结合使用,以执行更复杂的任务。PostgreSQL 提供了一套强大的窗口函数(Window Functions),这些函数允许用户对查询结果的每一行执行计算,同时考虑到与当前行相关的其他行。
SQL之CASE WHEN用法详解
weixin_42672802的博客
04-18 235
SQL之CASE WHEN用法详解
mysql和Nosql到底有什么区别,分别应用与什么场景?
m0_60388871的博客
04-20 664
MySQL 和 NoSQL 是两种不同类型的数据库技术,它们各有其特点和适用场景。了解它们之间的区别和应用场景可以帮助选择合适的技术来支持特定的应用需求。
windows部署pgsql
小微的博客
04-18 302
2、创建data目录作为数据目录。
Oracle和SQL Server区别
lxz458912769的博客
04-18 394
学习文件 oracle sqlserver区别
HANA SQL消耗内存和CPU线程的限制参数
wenyitao880901的专栏
04-18 232
HANA资源限制
nest内置的http请求详细代码
06-10
1. 首先,确保您已经在 `app.module.ts` 中引入了 `HttpModule`: ```typescript import { Module, HttpModule } from '@nestjs/common'; @Module({ imports: [HttpModule], }) export class AppModule {} ``` 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值