.Net 通用防注入代码

最新推荐文章于 2024-04-18 10:01:05 发布
最新推荐文章于 2024-04-18 10:01:05 发布
阅读量629 收藏
点赞数
分类专栏: .Net 
using System;

namespace web.comm
{
    /// <summary>
    /// ProcessRequest 的摘要说明。
    /// </summary>
    public class ProcessRequest
    {
        public ProcessRequest()
        {
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }

        #region SQL注入式攻击代码分析
        /// <summary>
        /// 处理用户提交的请求
        /// </summary>
        public static void StartProcessRequest()
        {
            
//            System.Web.HttpContext.Current.Response.Write("<script>alert('dddd');</script>");
            try
            {
                string getkeys = "";
                //string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
                if (System.Web.HttpContext.Current.Request.QueryString != null)
                {
    
                    for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))
                        {
                            //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
                            System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
                if (System.Web.HttpContext.Current.Request.Form != null)
                {
                    for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))
                        {
                            //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
                            System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
            }
            catch
            {
                // 错误处理: 处理用户提交信息!
            }
        }
        /// <summary>
        /// 分析用户请求是否正常
        /// </summary>
        /// <param name="Str">传入用户提交数据</param>
        /// <returns>返回是否含有SQL注入式攻击代码</returns>
        private static bool ProcessSqlStr(string Str,int type)
        {
            string SqlStr;

            if(type == 1)
                SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";
            else
                SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";

            bool ReturnValue = true;
            try
            {
                if (Str != "")
                {
                    string[] anySqlStr = SqlStr.Split('|');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.IndexOf(ss)>=0)
                        {
                            ReturnValue = false;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }
        #endregion


    }
}

双鱼达摩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET:依赖注入
子昊
09-03 4728
控制反转(Inversion of Control,缩写为IOC),是面向对象编程中的一种设计原则,可以用来减低计算机代码之间的耦合度。通过控制反转,对象在被创建的时候,由一个调控系统内所有对象的外界实体将其所依赖的对象的引用传递给它。也可以说,依赖被注入到对象中。用来注册服务、解析实例。 依赖注入(Dependency Injection,简称DI)是一个将行为从依赖中分离的技术,简单地说,它允许开发者定义一个方法函数依赖于外部其他各种交互,而不需要编码如何获得这些外部交互的实例。 为了方便理解,我使
Asp.Net通用Sql注入源码
06-06
"Asp.Net通用Sql注入源码"是针对这个问题提供的一种解决方案,旨在帮助Asp.Net程序员更好地保护他们的应用程序免受SQL注入攻击。 SQL注入攻击通常发生在应用程序没有正确验证或清理用户输入时。例如,当用户在...
探索Inject-Assembly:一款强大的.NET动态代码注入工具
最新发布
gitblog_00010的博客
04-18 427
探索Inject-Assembly:一款强大的.NET动态代码注入工具 项目地址:https://gitcode.com/kyleavery/inject-assembly 在软件开发的世界中,有时我们需要对运行时的程序集进行操作,比如调试、测试或性能优化。Inject-Assembly 是一个由Kyle Avery创建的开源项目,它提供了一个直观且高效的解决方案,允许开发者在不修改原始源码的情况...
asp.net 360通用代码,止sql注入与xss跨站漏洞攻击
lisky119的专栏
10-12 5326
这是360提供的一个aspx公用代码,可以止sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下范。 -----------------使用方法------------------- 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目
.NET中如何注入攻击
huangchangxu的专栏
11-05 446
目的: 对输入的字串长度,范围,格式和类型进行约束.  在开发ASP.NET程序时使用请求验证注入攻击.  使用ASP.NET验证控件进行输入验证.  对不安全的输出编码.  使用命令参数集模式注入攻击.  止错误的详细信息被返回到客户端.  概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程
asp sql查询过滤空格_ASP.NET审计:注入
weixin_39884832的博客
11-27 196
0x00 简介基础知识:ASP.NET开发可以选用两种框架:ASP.NETCore与 ASP.NETFrameworkASP.NET开发也分为两种:WebApplication:WEB应用程序,改变代码后需要重启网页。具有namespace空间名称,项目中所有的程序代码文件,和独立的文件都被编译成为一个程序集,保存在bin文件夹中。WebSite:WEB网站,改变代码后不用重启网页。它没...
凌讯ASP.NET通用SQL注入脚本系统 v3.0
04-27
本程序采用.NET2.0 + WinXP + SQL2000/Access2003 + C# 开发。 V1.0版本与2009.8.18日推出。 V2.0版本与2009.9.10日推出,将代码集成类中,方便调用。 V3.0版本修正2.0版本Cookies参数Bug,增加了封锁IP功能,...
ASP.NET通用注入实用版
06-06
ASP.NET通用注入实用版是一款针对C#编程语言和ASP.NET框架开发的安全工具,主要用于止SQL注入等类型的攻击。SQL注入是一种常见的网络安全威胁,黑客通过输入恶意SQL代码,以欺骗服务器执行非授权的操作,获取...
360_safe3通用XSS/SQL注入代码(ASP/PHP/C#ASP.NET
09-06
360_safe3通用XSS/SQL注入代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
ASPXSQL凌讯ASP.NET通用SQL注入脚本系统 v3.0
12-09
【ASPXSQL凌讯ASP.NET通用SQL注入脚本系统 v3.0】是一个专为ASP.NET开发的软件,旨在帮助开发者止SQL注入攻击。SQL注入是网络安全领域中常见的攻击手段,通过输入恶意的SQL代码,攻击者可以篡改、泄露或者破坏...
360通用asp代码(sql注入)
09-29
这个是360出的sql注入的源码,可以注入漏洞,跨站攻击漏洞,如果您的网站被360扫描,不管怎么修改都报毒请用这个代码试试看。这是360提供的一个asp公用代码,效果不错哦。
通用aspx注入代码
12-06
360通用aspx代码 -----------------使用方法------------------------------------------------------------------ 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。 2.将Global.asax文件拷贝到web根目录 假如已经存在Global.asax文件,那直接把下面这段代码 void Application_BeginRequest(object sender, EventArgs e) { if (Request.Cookies != null) { if (safe_360.CookieData()) { Response.Write("您提交的Cookie数据有恶意字符!"); Response.End(); } } if (Request.UrlReferrer != null) { if (safe_360.referer()) { Response.Write("您提交的Referrer数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "POST") { if (safe_360.PostData()) { Response.Write("您提交的Post数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "GET") { if (safe_360.GetData()) { Response.Write("您提交的Get数据有恶意字符!"); Response.End(); } } } 拷贝到当前的Global.asax文件里保存。
360数据库注入
01-06
360提供的sql注入 php类库 直接在php文件开头加入include('360_safe3.php'),修正正则表达式,匹配更多的sql关键字
360独家注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家注入跨站脚本攻击漏洞补丁php-asp-jsp
.Netsql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
(转).Net程序如何止被注入(整站通用)
jackyrongvip的专栏
06-07 763
作者:淘特网 出处:淘特网注:转载请注明出处止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(st
.NET 代码注入 CodeInject
weixin_34166472的博客
04-25 138
CInject (or CodeInject) 允许直接往托管的代码注入代码,而无需反编译。可在单个或者多个方法中注入你要执行的代码。使用 CInject 时你无需了解目标应用的细节,你通过注入来轻松对应用功能进行改造. Provides runtime intelligence such as  Values of arguments to the called function O...
C#SQL注入代码实现方法
小程序员 大梦想
01-14 7235
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。下面说下网站注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等
C# .NET 数据库访问通用封装类库
6. **依赖注入(Dependency Injection)**:在类的构造函数中,`ConnectionString`和`DbType`通过参数传递,这是一种依赖注入的方式,使得外部代码可以控制实例化的对象行为。 7. **配置管理(Configuration...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值