asp.net防sql注入

最新推荐文章于 2021-02-15 14:11:30 发布
最新推荐文章于 2021-02-15 14:11:30 发布
阅读量153 收藏
点赞数
原文链接:http://www.cnblogs.com/wq555/p/11460067.html
版权

 

在全局程序中添加过滤sql敏感

protected void Application_BeginRequest(object sender, EventArgs e)
{
//遍历Post参数,隐藏域除外
foreach (string i in this.Request.Form)
{
if (i == "__VIEWSTATE") continue;
this.goErr(this.Request.Form[i].ToString(), i);
}
//遍历Get参数。
foreach (string i in this.Request.QueryString)
{
this.goErr(this.Request.QueryString[i].ToString(), i);
}
//遍历Cookie
if (Request.Cookies["UserSettings"] != null && Request.Cookies["UserSettings"]["user_id"] != null)
{
this.goErr(Request.Cookies["UserSettings"]["user_id"], "Cookie_UserSettings_User_id");
}
}
/// <summary>
/// 校验参数是否存在SQL字符
/// </summary>
/// <param name="tm"> </param>
private void goErr(string tm, string parmeterName)
{
if (parmeterName == null) parmeterName = string.Empty;
if (SqlFilter(tm, parmeterName))
{
string rUrl = "http://" + Request.Url.Authority + Request.RawUrl.ToString().Split('?')[0];
Response.Redirect("/Error.aspx?rUrl=" + Server.UrlEncode(rUrl));
}
}
/// <summary>
///SQL注入过滤
/// </summary>
/// <param name="InText">要过滤的字符串 </param>
/// <returns>如果参数存在不安全字符,则返回true </returns>
public bool SqlFilter(string InText, string parmeterName)
{
//要排除检查的页面集合已“|”分割,如为子目录,请写上上级目录名称,如:/exam/aaa.aspx,全小写
string excludePageName = "coursemanager/addcourse.aspx|TrainingClass/TrainingClassEdit.aspx|Exam/exam_result.aspx".ToLower();
string url = Request.Url.ToString().Split('?')[0].Trim().ToLower();
foreach (string s in excludePageName.Split('|'))
{
if (url.Contains(s) && !string.IsNullOrEmpty(s))
return false;
}

//关键字过滤
string word = "and|exec|execute|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|cmd|drop|xp_cmdshell|xp_delete_file|xp_regread|xp_regwrite|xp_dirtree";
if (InText == null)
return false;
InText = InText.ToLower();
parmeterName = parmeterName.ToLower();
foreach (string i in word.Split('|'))
{
if ((InText.IndexOf("" + i + "") > -1))
{
return true;
}
}

//特殊字符过滤
string excludeName = "$password|loginpass|txtremark|ftbContent".ToLower(); //要排除特殊字符判断的控件类似名集合已“|”分割
bool isCheckChar = true; //默认都要检查特殊字符
foreach (string s in excludeName.Split('|'))
{
if (parmeterName.Contains(s))
isCheckChar = false;
}
if (isCheckChar)
{
if (InText.Contains("'"))
{
return true;
}
//else if (InText.Contains(" "))
//{
// return true;
//}
//else if (InText.Contains("+"))
//{
// return true;
//}
//else if (InText.Contains("-"))
//{
// return true;
//}
else if (InText.Contains("/*"))
{
return true;
}
else if (InText.Contains("*/"))
{
return true;
}
}
return false;
}

转载于:https://www.cnblogs.com/wq555/p/11460067.html

deze1217
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP.netSQL注入(简单)
02-02 126
一,验证方法 /// <summary>///SQL注入过滤/// </summary>/// <param name="InText">要过滤的字符串</param>/// &lt...
简单的ASP.netSQL注入
暖阳的进步乐园
03-22 756
sql注入是每个开发人员都要考滤的问题asp.net有个Global.asax文件,有一个Application_BeginRequest方法(应用启动获取)就是当获取到参数时触发的事件;这里就是网站页面每次提交时都要经过的事件;在这里做注入就一下子卡住入口了代码如下:protected void Application_BeginRequest(Object sender, EventArg
asp.net 防止 sql注入
weixin_30699463的博客
08-03 131
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
ASP.NET中如何SQL注入式攻击
fuxingboy的专栏
11-27 1478
一、什么是SQL注入式攻击?   所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户
asp.netSQL注入攻击之我见
10-29
说起防止SQL注入攻击,感觉很郁闷,这么多年了大家一直在讨论,也一直在争论,可是到了现在似乎还是没有定论。当不知道注入原理的时候会觉得很神奇,怎么就被注入了呢?会觉得很难预。但是当知道了注入原理之后...
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入。
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
10-10
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程
ASP.NET网站防止SQL注入攻击
iamsyu的专栏
12-29 964
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
asp.net程序防止sql注入
yangmingxing980的专栏
04-26 1464
以下是一个.net程序防止sql注入的方法,方式一如下:将下面的代码加入到Global.asax文件中:         ///     ///防止SQL注入     ///     ///     ///     void Application_BeginRequest(Object sender, EventArgs e)     {         StartProc
Asp.NetSql注入和写安全的代码
☜ 我追求的天空 ☞┅┅┅┅┅﹣·☆
06-30 1871
Asp.Net Sql注入 和 写安全的代码
防止sql注入式攻击
10-14 2194
我们经常会遇到防止注入式攻击的问题,(防止输入如:bdor1=1 这样的字段欺骗)ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。    ⑴ 对于动态构造SQL查询的场合,可以使用下面的技术: 第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改
aspx mysql hosts_aspSQL注入代码
weixin_35809867的博客
02-15 168
什么叫SQL注入攻击,我就不多说了,这里只讲范代码。1、先在要范的文件Page_Load事件里写调用语句:protected void Page_Load(object sender, EventArgs e){SqlInject myCheck = new SqlInject(this.Request);myCheck.CheckSqlInject();}2、SqlInject是实现类,具体...
ASP.NET 防止SQL注入
字串8的专栏
07-27 474
最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法注入呢我就用不着了。只能用传统的笨一点的办法了。1、新建Global.asax文件。2、加入如下代码:void Application_BeginRequest(object sender, Eve
asp.net 防止sql注入 global 文件控制
weixin_30802273的博客
07-09 102
using System; using System.Collections; using System.ComponentModel; using System.Web; using System.Web.SessionState; using log4net; namespace WebCheminfo { /// <summary> /// Glo...
asp.net c# sql学生信息管理系统
最新发布
05-14
ASP.NET Core是一种开源的Web应用程序框架,旨在为开发人员提供一种跨平台的方法来构建Web应用程序。它是Microsoft ASP.NET的下一代版本,与之前版本相比,它具有更高的性能和更好的可扩展性。 ASP.NET Core是跨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值