C# 防止SQL注入

最新推荐文章于 2024-07-16 10:04:29 发布
最新推荐文章于 2024-07-16 10:04:29 发布
阅读量1.3k 收藏 3
点赞数
文章标签: sql c# string application url insert
C# 防止SQL注入

在做Sql注入防止的时候找了很多代码,但都不十分满意,有的需要一个页面一个页面去调用,有的则执行错误.于是在一个解决方案上面修改了一下,基本实现了全站防止SQL注入的功能,有什么不足的地方,还请批评指正

SqkKey.cs

using System;
using System.Text.RegularExpressions;
using System.Web;


    /** <summary>
    /// SqlKey 的摘要说明。
    /// </summary>
    public class SqlKey
     {
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
        public SqlKey(System.Web.HttpRequest _request)
       {
            //
            // TODO: 在此处添加构造函数逻辑
            //
            this.request = _request;
        }

        /** <summary>
        /// 只读属性 SQL关键字
        /// </summary>
        public static string KeyWord
        {
            get
            {
                return StrKeyWord;
            }
        }
        /** <summary>
        /// 只读属性过滤特殊字符
        /// </summary>
        public static string RegexString
        {
            get
            {
                return StrRegex;
            }
        }
        /** <summary>
        /// 检查URL参数中是否带有SQL注入可能关键字。
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestQuery()
        {
            if (request.QueryString.Count != 0)
            {
                //若URL中参数存在,逐个比较参数。
                foreach (string i in this.request.QueryString)
                {
                    // 检查参数值是否合法。
                    if (i == "__VIEWSTATE") continue;
                    if (i == "__EVENTVALIDATION") continue;
                    if (CheckKeyWord(request.QueryString[i].ToString()))
                    {
                        return true;
                    }
                }
            }
            return false;
        }

        /** <summary>
        /// 检查提交表单中是否存在SQL注入可能关键字
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestForm()
        {
            if (request.Form.Count > 0)
            {
                
                //获取提交的表单项不为0 逐个比较参数
                foreach (string i in this.request.Form)
                {
                    if (i == "__VIEWSTATE") continue;
                    if (i == "__EVENTVALIDATION") continue;
                    //检查参数值是否合法
                    if (CheckKeyWord(request.Form[i]))
                    {
                        //存在SQL关键字
                        return true;

                    }
                }                
            }
            return false;
        }

        /** <summary>
        /// 静态方法,检查_sword是否包涵SQL关键字
        /// </summary>
        /// <param name="_sWord">被检查的字符串</param>
        /// <returns>存在SQL关键字返回true,不存在返回false</returns>
        public static bool CheckKeyWord(string _sWord)
        {
           string word=_sWord;
           string[] patten1 = StrKeyWord.Split('|');
           string[] patten2 = StrRegex.Split('|');
           foreach (string i in patten1) 
            {
                if (word.Contains(" " + i) || word.Contains(i + " ")) 
                {
                    return true;
                } 
            }
            foreach (string i in patten2)
            {
                if (word.Contains(i))
                {
                    return true;
                }
            }            
            return false;
        }

        /** <summary>
        /// 反SQL注入:返回1无注入信息,否则返回错误处理
        /// </summary>
        /// <returns>返回1无注入信息,否则返回错误处理</returns>
        public string CheckMessage()
        {
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()
            {
                //msg = "<span style='font-size:24px;'>非法操作!<br>";
                //msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";
                //msg += "操作时间:" + DateTime.Now + "<br>";
                //msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
                //msg += "<a href="#" οnclick="history.back()">返回上一页</a></span>";
            }
            return msg.ToString();
        }
    }

------------------------------------------------------

在Global.asax文件中加入以下代码

   void Application_BeginRequest(Object sender, EventArgs e)
    {
        SqlKey myCheck = new SqlKey(this.Request);
        bool a = myCheck.CheckRequestForm();
        bool b = myCheck.CheckRequestQuery();
        if (myCheck.CheckRequestForm() || myCheck.CheckRequestQuery())
        {
            Response.Write("有");
        }
        else
        {
            Response.Write("无");
        }
     
    }


转:http://apps.hi.baidu.com/share/detail/23801710

cheng110110
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#中防治sql注入的帮助类
zhang123csdn的博客
12-09 1788
C#中防治sql注入的帮助类
C#SQL注入代码的三种方法
甫子陵的博客
08-07 1万+
C#SQL注入代码的三种方法
c#验证输入语句是否带有sql入侵的方法
weixin_72139050的博客
07-11 456
为了在C# WinForms中验证用户输入的数据是否包含SQL注入攻击语句,可以使用多种方法来检测和防止SQL注入
C#SQL注入代码的实现方法
weixin_30718391的博客
01-18 654
  对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。  下面说下网站防注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:...
C#SQL注入
liang541的专栏
04-19 869
本例主要完成查询时用户恶意输入sql语句破坏数据库的行为进行过滤和警告提示; 防SQL注入的类主要时根据输入的查询条件检查时候含有sql语句的成分并返回True或False,和一个属性message; 代码如下:   public static class SQLCheckUtil { private static string _Message; public stat
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
c# 全站防止sql注入
06-24
C#全站防止SQL注入是确保应用程序安全的关键措施,下面将详细介绍如何利用Global.asax和App_code中添加类来实现这一目标。 首先,我们来理解Global.asax文件的作用。Global.asax,也被称为应用程序全局事件处理程序...
C# 防止SQL注入式攻击
02-24
本文将深入探讨C#防止SQL注入式攻击的相关知识点,并结合"Ex18_04防止SQL注入式攻击"这一示例进行说明。 1. **理解SQL注入攻击** SQL注入攻击通常发生在应用程序没有正确验证用户输入时,攻击者可以通过输入特定的...
C# 防止SQL注入攻击
limlimlim的专栏
03-02 9308
l登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 l构造恶意的Password:hello' or 1=1 -- l                      if (dataReader.Read()) l                        { l
c语言 防止sql注入,c#如何防止sql注入?
weixin_36360511的博客
05-24 1959
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入。下面我们给大家介绍C#防止sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
C#参数化(防止SQL注入)
ICE FROG的博客
11-18 5526
/* * C#防止SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 *//* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块漏洞上添加了一个类来处理这个问题: * SqlParameter - using
浅谈SQL注入的四种防御方法
热门推荐
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
sql防注入代码(c#)
老农写代码
02-15 3919
 在文件Global.asax中加入这一段void Application_BeginRequest(object source, EventArgs e) { COMP.ProcessRequest pr = new COMP.ProcessRequest(); pr.StartProcessRequest(); } 新建文
winform防止sqlserver注入_C#SQL注入代码的实现方法
weixin_42549117的博客
01-17 206
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。下面说下网站防注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等...
c# 防止sql 注入
最新发布
weixin_42955679的博客
07-16 264
新加 RequestValidationFilter.cs。因为会获取页面所有的字段,所以需要过滤掉很多字段。
C#怎么防止SQL注入
07-15
C# 中,可以采取以下措施来防止 SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句中,而不是直接将输入值嵌入到 SQL 查询字符串中。这样可以防止恶意输入被解释...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值