简单的ASP.net防SQL注入

最新推荐文章于 2019-09-04 16:47:00 发布
最新推荐文章于 2019-09-04 16:47:00 发布
阅读量405 收藏
点赞数
分类专栏: c# 文章标签: asp.net sql string application object 数据库

 防sql注入是每个开发人员都要考滤的问题

使用防注入最简单的办法就是在进行数据库查询时间使用参数方法来操作用户输入的数据。并将输入的文本内容进行HTML编码。
sqlconnection conn=new ......
string s=request["s"];
s=server.htmlencode("s");
sqlcommand cmd=new sqlcommand("select * from table where s=@s",conn);
cmd.parameters.addwithvalue("@s",s);

asp.net有个Global.asax文件,有一个Application_BeginRequest方法(应用启动获取)

就是当获取到参数时触发的事件;这里就是网站页面每次提交时都要经过的事件;在这里做防注入就一下子卡住入口了

代码如下:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//遍历Post参数,隐藏域除外
foreach (string i in this.Request.Form)
{
//输出
}
//遍历Get参数。
foreach (string i in this.Request.QueryString)
{
//输出
}
}
这样就可以遍历出页面提交上来的所有的参数;里面只写了一个“//输出”,没有写代码出来,大家可以写repsonse.write输出来看看,尝试一下;我们只需对这些参数进行过滤,如果存在不安全字符,直接跳转就走行了;
也可以加过滤 
public static string DelSQLStr(string str)
{
    if(str == null || str == "")
        return "";
    str = str.Replace(";","");
    str = str.Replace("'","");
    str= str.Replace("&","");
    str= str.Replace("%20","");
    str= str.Replace("--","");
    str= str.Replace("==","");
    str= str.Replace("<","");
    str= str.Replace(">","");
    str= str.Replace("%","");
    return str;
}
 

gqgqing
关注
专栏目录
asp.net SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP.netSQL注入(简单)
02-02 147
一,验证方法 /// <summary>///SQL注入过滤/// </summary>/// <param name="InText">要过滤的字符串</param>/// &lt...
asp.net sql注入
weixin_30699463的博客
08-03 157
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
ASP.NET中如何SQL注入式攻击
fuxingboy的专栏
11-27 1504
一、什么是SQL注入式攻击?   所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户
ASP.NETSQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
ASP.NET编程知识】ASP.NET过滤类SqlFilter,SQL注入 .docx
05-19
ASP.NET过滤类SqlFilter的目的是SQL注入攻击,这是一种常见的网络安全威胁。SQL注入允许恶意用户通过输入特殊构造的参数,使得后台系统执行非预期的SQL命令,从而可能获取敏感数据或破坏数据库。例如,如果一个...
ASP.NET编程知识】ASP.NETSQL注入的方法示例.docx
最新发布
05-20
ASP.NET SQL 注入攻击的方法有很多,这些方法包括参数法注入、传统的笨一点的办法、HttpModule 实现sql注入SqlFilter SQL 注入、validation SQL 注入等。只有通过使用这些方法,才能有效地止...
ASP.NET网站SQL注入攻击
iamsyu的专栏
12-29 1064
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式止注入攻击. 止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
Asp.NetSql注入和写安全的代码
☜ 我追求的天空 ☞┅┅┅┅┅﹣·☆
06-30 1893
Asp.Net Sql注入 和 写安全的代码
[转自横渡博客]ASP.netSQL注入方法
LWL309599430的博客
04-17 154
大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的,一切客户端的东西都是不可信任的,select下拉框也是!因为可以自己做一个htm提交到服务器。 3、access比sq...
asp.netsql注入
09-04 169
在全局程序中添加过滤sql敏感 protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { ...
asp.net SQL注入攻击
逐日者的博客
03-09 1684
asp.net网站SQL注入攻击,只要做到以下三点,网站就会比较安全了而且维护也简单。 一般的办法是每个文件都修改加入过滤代码,这样很不方便,下面介绍一种方法,可以从整个网站止注入。 一、Web.config 在你的Web.config文件中,在下面增加一个标签,如下:
asp.net程序sql注入
yangmingxing980的专栏
04-26 1481
以下是一个.net程序sql注入的方法,方式一如下:将下面的代码加入到Global.asax文件中:         ///     ///SQL注入     ///     ///     ///     void Application_BeginRequest(Object sender, EventArgs e)     {         StartProc
.netSQL注入方法
William的专栏
04-08 1974
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。第一步.使用ASP.NET请求验证.默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留
ASP.NET SQL注入安全编码实践
"这篇内容主要探讨了.NET环境下如何SQL注入攻击,通过提供的代码示例展示了对POST请求中可能存在的SQL注入进行检查的方法。" 在软件开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意的SQL代码来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值