JS和C#分别防止注入

最新推荐文章于 2021-02-19 17:19:29 发布
最新推荐文章于 2021-02-19 17:19:29 发布
阅读量276 收藏
点赞数
文章标签: c# 正则表达式 regex insert delete javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iloveyoupk/article/details/3460251
版权
  如果你的查询语句是select * from admin where username=''''"&user&"'''' and password=''''"&pwd&"''''"
那么,如果我的用户名是:1'''' or ''''1''''=''''1
那么,你的查询语句将会变成:
select * from admin where username=''''1 or ''''1''''=''''1'''' and password=''''"&pwd&"''''"
这样你的查询语句就通过了,从而就可以进入你的管理界面。

所以防范的时候需要对用户的输入进行检查。特别是一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。

需要过滤的特殊字符及字符串有:
   net user
   xp_cmdshell
   /add
   exec master.dbo.xp_cmdshell
   net localgroup administrators
   select
   count
   Asc
   char
   mid
   ''''
   :
   "
   insert
   delete from
   drop table
   update
   truncate
   from
   %
js版的防范SQL注入式攻击的两段代码~:

[CODE START]  
<script language="javascript">
<!--
var url = location-.search;
var re=/^/?(.*)(select%20|insert%20|delete%20from%20|count/(|drop%20table|update%20truncate%20|asc/(|mid/(|char/(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|/"|:|net%20user|/''''|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有非法字符~");
location-href="error.asp";
}
//-->
<script>

登陆和密码输入判断
//防止非法字符串注入
function checkuseravoid(str){
var inj_str="‘|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
var   sarray=new   Array();

sarray=inj_str.split('|');
for (var i=0 ;i <inj_stra.length ;i++ ) {
if (str.indexOf(inj_stra)>=0)
return true;
}
return false;
}

[CODE END]

asp版的防范SQL注入式攻击代码~:
[CODE START]
<%
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = " http://"
Else
strTemp = " https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"''''") or Instr(strTemp,"%20or%20") then
Response.Write "<script language=''''javascript''''>"
Response.Write "alert(''''非法地址!!'''');"
Response.Write "location-href=''''error.asp'''';"
Response.Write "<script>"
End If
%>
[CODE END]

C# 检查字符串,防SQL注入攻击
这个例子里暂定为=号和''''号
bool CheckParams(params object[] args)
{
string[] Lawlesses={"=","''''"};
if(Lawlesses==null||Lawlesses.Length<=0)return true;
//构造正则表达式,例:Lawlesses是=号和''''号,则正则表达式为 .*[=}''''].* (正则表达式相关内容请见MSDN)
//另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
string str_Regex=".*[";
for(int i=0;i< Lawlesses.Length-1;i++)
  str_Regex+=Lawlesses+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
foreach(object arg in args)
{
  if(arg is string)//如果是字符串,直接检查
  {
    if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
    return false;
  }
  else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
  {
    foreach(object obj in (ICollection)arg)
    {
      if(obj is string)
      {
        if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
        return false;
      }
    }
  }
}
return true;
iloveyoupk
关注
JSC#分别防注入代码
10-30
防范的时候需要对用户的输入进行检查。特别是一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
C#防SQL注入代码的三种方法
12-31
对于网站的安全性,是每个... 四:屏蔽SQL,javascript注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法  C#防SQL注入方法一  在Web.config文件中
C# 检查字符串,防SQL注入攻击
Heck's blog
12-07 162
[code="C#"] 例子里暂定为=号和'号 bool CheckParams(params object[] args) { string[] Lawlesses={"=","'"};//在这里还可以写要过滤的字符串 if(Lawlesses==null||Lawlesses.Length0) return false; }...
.NET防止SQL、JS、HTML注入
weixin_30764771的博客
12-19 81
/// <summary> /// 过滤标记 /// </summary> /// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param> /// <returns>已经去除标记后的文字</returns> public static string NoHTM...
C#中经常注入的一些Javascript代码
agfc41358的博客
08-23 151
/*============================================================= * 一些常用的 Javascript * Author : Danny,Li * E-mail : xing.dong.li@163.com * Edition: V-101014 *=====================================...
c#: WebBrowser控件注入js代码的三种方案
liang08114的专栏
02-19 586
https://www.cnblogs.com/crwy/p/11275245.html
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
ASP.NET是微软开发的一种...总之,理解和防范SQL注入和XSS漏洞对于任何ASP.NET C#开发者都是至关重要的。通过采用最佳实践和安全编程习惯,我们可以大大降低Web应用程序遭受这些攻击的风险,从而保护用户的数据安全。
AntiXss攻击防止C#代码文件
04-01
6. **使用参数化查询**:在数据库查询中,使用参数化查询可以防止SQL注入,同时也间接保护了应用免受XSS攻击,因为攻击者无法通过注入SQL语句来改变页面内容。 7. **限制Cookie属性**:设置Cookie的`HttpOnly`标志...
防止SQL注入和XSS攻击Filter
06-03
### 防止SQL注入和XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式...
c#后台输出javascript语句示例程序
09-04
首先,它对 `strMsg` 进行转义,防止注入攻击,然后通过 `Response.Write` 输出相应的JavaScript代码,如 `alert()` 函数,以及可能的 `history.back()` 或 `Response.End()`。 2. **写JavaScript语句内容**: `...
JS代码防止SQL注入的方法(超简单)
10-22
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧
c#: WebBrowser控件注入js代码的两种方案
weixin_30821731的博客
07-31 975
聊做备忘。 假设js代码为: string jsCode = @"function showAlert(s) {{ alert('hello, world! ' + s);}}; showAlert('{0}');";    那么,在WebBrowser文档加载完成后,两种方法可以执行它: 1、常规方法,追加script元素: var script = bro...
js也可以有自定义事件 注入就是这么爽
weixin_33781606的博客
12-10 93
  在c#中有delegate,还有特殊的可以直接应用于事件编程的delegate,那就是event。而在js中没有c#的event,更没有delegate,有的只是dom元素内置的的native的不可扩展的event,比如无法为input元素添加事件,只能在其拥有的事件(如onclick=handler)上扩展应用。那么能不能做到自定义的事件模拟效果呢?答案是肯定的,也就是本文的主题。  首先弄...
js代码注入
WiFi_Uncle的专栏
10-11 4886
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
ASP.NET MVC 阻止 JavaScript 注入攻击
deng_zz的专栏
01-22 6275
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论防止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据防止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容防止 JavaScript 注入攻击。什么是 JavaScript 注入攻击?每当接
基于C#JS的阻止重定向攻击
学而时习之
04-20 1251
There are different types of attacks that exist in web programming, like SQL Injection Attack, Cross Site Scripting Attack(XSS), Open Redirection Attack etc., and we need to take care of these attacks
向页面注入JS代码
热门推荐
sqlaowen的博客
02-08 1万+
向一个页面中注入一段JS方法如下 拿jQuery做实验 var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "http://libs.baidu.com/jquery/2.0.0/jquery.min.js"; var s = document.ge
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值