ASP.net防止注入函数

最新推荐文章于 2024-09-18 22:13:49 发布
最新推荐文章于 2024-09-18 22:13:49 发布
阅读量917 收藏
点赞数
文章标签: asp.net string sql url insert delete
using System;
using System.Text.RegularExpressions;
using System.Web;

namespace FSqlKeyWord
...{
    /** <SUMMARY>

    /// SqlKey 的摘要说明。

    /// </SUMMARY>

    public class SqlKey
    ...{
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";
        public SqlKey(System.Web.HttpRequest _request)
        ...{
            //

            // TODO: 在此处添加构造函数逻辑

            //

            this.request = _request;
        }

        /** <SUMMARY>

        /// 只读属性 SQL关键字

        /// </SUMMARY>

        public static string KeyWord
        ...{
            get
            ...{
                return StrKeyWord;
            }
        }
        /** <SUMMARY>

        /// 只读属性过滤特殊字符

        /// </SUMMARY>

        public static string RegexString
        ...{
            get
            ...{
                return StrRegex;
            }
        }
        /** <SUMMARY>

        /// 检查URL参数中是否带有SQL注入可能关键字。

        /// </SUMMARY>

        /// <PARAM name="_request">当前HttpRequest对象</PARAM>

        /// <RETURNS>存在SQL注入关键字true存在,false不存在</RETURNS>

        public bool CheckRequestQuery()
        ...{
            if (request.QueryString.Count != 0)
            ...{
                //若URL中参数存在,逐个比较参数。

                for (int i = 0; i < request.QueryString.Count; i++)
                ...{
                    // 检查参数值是否合法。

                    if (CheckKeyWord(request.QueryString<I>.ToString()))
                    ...{
                        return true;
                    }
                }
            }
            return false;
        }

        /** <SUMMARY>

        /// 检查提交表单中是否存在SQL注入可能关键字

        /// </SUMMARY>

        /// <PARAM name="_request">当前HttpRequest对象</PARAM>

        /// <RETURNS>存在SQL注入关键字true存在,false不存在</RETURNS>

        public bool CheckRequestForm()
        ...{
            if (request.Form.Count > 0)
            ...{
                //获取提交的表单项不为0 逐个比较参数

                for (int i = 0; i < request.Form.Count; i++)
                ...{
                    //检查参数值是否合法

                    if (CheckKeyWord(request.Form<I>))
                    ...{
                        //存在SQL关键字

                        return true;

                    }
                }
            }
            return false;
        }

        /** <SUMMARY>

        /// 静态方法,检查_sword是否包涵SQL关键字

        /// </SUMMARY>

        /// <PARAM name="_sWord">被检查的字符串</PARAM>

        /// <RETURNS>存在SQL关键字返回true,不存在返回false</RETURNS>

        public static bool CheckKeyWord(string _sWord)
        ...{
            if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
                return true;
            return false;
        }

        /** <SUMMARY>

        /// 反SQL注入:返回1无注入信息,否则返回错误处理

        /// </SUMMARY>

        /// <RETURNS>返回1无注入信息,否则返回错误处理</RETURNS>

        public string CheckMessage()
        ...{
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()

            ...{
                msg = "<SPAN style="FONT-SIZE: 24px">非法操作!
";
                msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "
";
                msg += "操作时间:" + DateTime.Now + "
";
                msg += "页面:" + request.ServerVariables["URL"].ToLower() + "
";
                msg += "<A οnclick=history.back() href="#">返回上一页</A></SPAN>";

            }
            return msg.ToString();
        }
    }
jakecool123
关注
ASP防注入
yonghengzhimi的专栏
09-13 697
ASP防注入漏洞方法 在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先,入侵者会对一个网站确定可不可以进行注入,假设一篇文章的地址为:http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试,如:http.
Asp.net防止注入过滤
weixin_44149389的博客
04-10 276
Asp.net防止注入过滤. string jk1986_sql = "exec↓select↓drop↓alter↓exists↓union↓and↓or↓xor↓order↓mid↓asc↓execute↓xp_cmdshell↓insert↓update↓delete↓join↓declare↓char↓sp_oacreate↓wscript.shell↓xp_reg...
ASP.NET防止SQL注入函数
04-02
ASP.NET防止SQL注入函数,C harp代码
asp.net注入的两个自定义函数
得峰的专栏 [网络收藏]
05-24 1095
  一.如果参数全
asp.net防止Sql注入的方法- 转
freedom
10-11 235
转自[url]http://wenku.baidu.com/view/e9a489240722192e4536f6b2.html[/url] 原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。 ...
ASP.NET防止SQL注入的方法示例
10-20
***防止SQL注入的方法主要是通过代码实现,对用户的输入进行严格检查,从而避免恶意用户利用SQL注入攻击系统。SQL注入是利用数据库系统对输入参数的错误处理,通过在输入中包含SQL代码片段,以此来操作数据库的一种...
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
ASP.NET过滤类SqlFilter的目的是防止SQL注入攻击,这是一种常见的网络安全威胁。SQL注入允许恶意用户通过输入特殊构造的参数,使得后台系统执行非预期的SQL命令,从而可能获取敏感数据或破坏数据库。例如,如果一个...
详解asp.net core 依赖注入
12-17
除了构造函数注入ASP.NET Core还支持属性注入和方法注入。属性注入是通过在类中声明带有`[Inject]`特性的依赖属性来实现的。方法注入则是通过在方法参数上标记`[FromServices]`特性,让IoC容器在调用方法时提供...
详解ASP.NET Core 中的框架级依赖注入
10-19
*** Core框架级依赖注入是.NET Core的一个重要特性,它允许开发人员轻松地将服务注入到应用程序的各个组件中,通过控制服务的生命周期来管理这些依赖关系。依赖注入是一种编程模式,旨在实现控制反转(IoC),即不是...
输入值/表单提交参数过滤有效防止sql注入的方法
龚清林的博客
01-14 2101
/** * 过滤sql与php文件操作的关键字 * @param string $string * @return string * @author zyb <zyb_icanplay@163.com> */ function filter_keyword( $string ) { $keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.
【.NET全栈】ASP.NET实战—基于ASP.NET的求职系统设计与实现
JosieBook
09-18 375
经典求职系统主要功能是提供求职者与雇主一个互动的沟通平台。求职者可以在网站中发布简历查找工作雇主可以在网站中发布工作机会查看求职者简历信息基于ASP.NET 4.0进行求职系统的设计和实现。
navicate远程linux上的pgsql提示密码失败
记录、分享、合作、共赢
09-14 311
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
web基础—dvwa靶场(八)SQL Injection(Blind)
m0_74080781的博客
09-18 755
SQL Injection(Blind),SQL盲注,相比于常规的SQL注入,他不会将返回具体的数据信息或语法信息,只会将服务器包装后的信息返回到页面中。
mysql学习教程,从入门到精通,SQL 删除数据(DELETE 语句)(18)
最新发布
qq_45746668的博客
09-18 285
在编写SQL中的`DELETE`语句时,需要非常小心,因为一旦执行,被删除的数据就无法恢复了(除非你有备份)。`DELETE`语句用于从数据库表中移除一条或多条记录。这里,我将提供一个基本的`DELETE`语句的示例,并解释如何安全地使用它。
经典sql题(一)求连续登录不少于三天用户
m0_58076578的博客
09-14 933
去重提取日期查询:提取每个用户的唯一登录日期。结果表table1:显示每个用户的唯一日期。为每个用户生成序列号查询:为每个用户的日期生成序号,并计算date2。结果表table2:显示用户的日期和对应的date2。步骤使用函数,按照日期顺序为每个用户的登录日期分配一个序号。例如,对于用户 ID = 1,假设他们的日期是2023-10-012023-10-02和2023-10-03将为它们生成序号 1、2 和 3。date2是通过将每个日期减去它的序号得到的。这个操作的目的是为了检测连续的日期。
漏洞复现-泛微-E-Cology-SQL
无问社区的博客
09-12 460
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology系统HrmService前台存在SQL注入漏洞。。影响范围:泛微E-Cology9 < 10.65.0建议升级最新版本,已经修复。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 1324
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
ASP.NET HttpModule防止SQL注入实战
"asp.net利用HttpModule实现防sql注入" ASP.NET是一个强大的Web应用程序开发框架,由微软公司提供,用于构建动态、数据驱动的网站。在ASP.NET中,HttpModule是IIS(Internet Information Services)处理请求生命...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值