C# 防止SQL注入

最新推荐文章于 2024-07-23 22:14:51 发布
最新推荐文章于 2024-07-23 22:14:51 发布
阅读量506 收藏
点赞数
分类专栏: SQL Server ASP.NET

在做Sql注入防止的时候找了很多代码,但都不十分满意,有的需要一个页面一个页面去调用,有的则执行错误.于是在一个解决方案上面修改了一下,基本实现了全站防止SQL注入的功能,有什么不足的地方,还请批评指正

 

SqkKey.cs

 

 using System;

using System.Text.RegularExpressions;

using System.Web;





    /**//// <summary>

    /// SqlKey 的摘要说明。

    /// </summary>

    public class SqlKey

     {

        private HttpRequest request;

        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";

        private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";

        public SqlKey(System.Web.HttpRequest _request)

       {

            //

            // TODO: 在此处添加构造函数逻辑

            //

            this.request = _request;

        }



        /**//// <summary>

        /// 只读属性 SQL关键字

        /// </summary>

        public static string KeyWord

        {

            get

            {

                return StrKeyWord;

            }

        }

        /**//// <summary>

        /// 只读属性过滤特殊字符

        /// </summary>

        public static string RegexString

        {

            get

            {

                return StrRegex;

            }

        }

        /**//// <summary>

        /// 检查URL参数中是否带有SQL注入可能关键字。

        /// </summary>

        /// <param name="_request">当前HttpRequest对象</param>

        /// <returns>存在SQL注入关键字true存在,false不存在</returns>

        public bool CheckRequestQuery()

        {

            if (request.QueryString.Count != 0)

            {

                //若URL中参数存在,逐个比较参数。

                foreach (string i in this.request.QueryString)

                {

                    // 检查参数值是否合法。

                    if (i == "__VIEWSTATE") continue;

                    if (i == "__EVENTVALIDATION") continue;

                    if (CheckKeyWord(request.QueryString[i].ToString()))

                    {

                        return true;

                    }

                }

            }

            return false;

        }



        /**//// <summary>

        /// 检查提交表单中是否存在SQL注入可能关键字

        /// </summary>

        /// <param name="_request">当前HttpRequest对象</param>

        /// <returns>存在SQL注入关键字true存在,false不存在</returns>

        public bool CheckRequestForm()

        {

            if (request.Form.Count > 0)

            {

               

                //获取提交的表单项不为0 逐个比较参数

                foreach (string i in this.request.Form)

                {

                    if (i == "__VIEWSTATE") continue;

                    if (i == "__EVENTVALIDATION") continue;

                    //检查参数值是否合法

                    if (CheckKeyWord(request.Form[i]))

                    {

                        //存在SQL关键字

                        return true;



                    }

                }               

            }

            return false;

        }



        /**//// <summary>

        /// 静态方法,检查_sword是否包涵SQL关键字

        /// </summary>

        /// <param name="_sWord">被检查的字符串</param>

        /// <returns>存在SQL关键字返回true,不存在返回false</returns>

        public static bool CheckKeyWord(string _sWord)

        {

           string word=_sWord;

           string[] patten1 = StrKeyWord.Split('|');

           string[] patten2 = StrRegex.Split('|');

           foreach (string i in patten1)

            {

                if (word.Contains(" " + i) || word.Contains(i + " "))

                {

                    return true;

                }

            }

            foreach (string i in patten2)

            {

                if (word.Contains(i))

                {

                    return true;

                }

            }           

            return false;

        }



        /**//// <summary>

        /// 反SQL注入:返回1无注入信息,否则返回错误处理

        /// </summary>

        /// <returns>返回1无注入信息,否则返回错误处理</returns>

        public string CheckMessage()

        {

            string msg = "1";

            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()

            {

                //msg = "<span style='font-size:24px;'>非法操作!<br>";

                //msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";

                //msg += "操作时间:" + DateTime.Now + "<br>";

                //msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";

                //msg += "<a href="#" οnclick="history.back()">返回上一页</a></span>";

            }

            return msg.ToString();

        }

    }


------------------------------------------------------ 

  
  

   
   

   
   
在Global.asax文件中加入以下代码

  
  
void Application_BeginRequest(Object sender, EventArgs e)

    {

        SqlKey myCheck = new SqlKey(this.Request);

        bool a = myCheck.CheckRequestForm();

        bool b = myCheck.CheckRequestQuery();

        if (myCheck.CheckRequestForm() || myCheck.CheckRequestQuery())

        {

            Response.Write("");

        }

        else

        {

            Response.Write("");

        }

     

    }
秋天的怀念
关注
专栏目录
c#客户端防止SQL注入
CD_gd的博客
10-09 3283
在我们做编程的时候,尤其是在和数据库有关的软件,我们一定注意到数据库的安全问题。我们一定要注意到数据库的安全问题。一定要防止SQL注入的问题SQL注入是什么? SQL注入,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是一个很危险
防止sql注入
jingYang07的博客
04-23 872
import org.owasp.esapi.ESAPI; import org.owasp.esapi.Encoder; import org.owasp.esapi.codecs.Codec; import org.owasp.esapi.codecs.MySQLCodec; import org.owasp.esapi.errors.EncodingException; import or...
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
C#.NET防止SQL注入式攻击
zhangj1012003_2007的专栏
08-03 1586
1防止sql注入式攻击(可用于UI层控制)#region 防止sql注入式攻击(可用于UI层控制)  2  3/**////   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// t
SQL注入SQL注入漏洞的检测及防御,零基础入门到精通
最新发布
baimao__Ch的博客
07-23 1160
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库开发者、Web开发者和安全专业人员需要了解它,以采取措施来预防和检测SQL注入漏洞。01什么是SQL注入SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。
C#SQL注入
liang541的专栏
04-19 872
本例主要完成查询时用户恶意输入sql语句破坏数据库的行为进行过滤和警告提示; 防SQL注入的类主要时根据输入的查询条件检查时候含有sql语句的成分并返回True或False,和一个属性message; 代码如下:   public static class SQLCheckUtil { private static string _Message; public stat
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#SQL注入方法一  在Web.config文件中
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
C#SQL注入代码
12-30
一,验证方法 二,Global.asax 事件 三,Global中的一个方法
c# 防止sql 注入
weixin_42955679的博客
07-16 346
新加 RequestValidationFilter.cs。因为会获取页面所有的字段,所以需要过滤掉很多字段。
C# 防止SQL注入攻击
limlimlim的专栏
03-02 9358
l登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。 l构造恶意的Password:hello' or 1=1 -- l                      if (dataReader.Read()) l                        { l
c#防止注入SQL语句写法
KJJfighting的博客
01-14 1555
防止注入sql
C#中防治sql注入的帮助类
zhang123csdn的博客
12-09 1815
C#中防治sql注入的帮助类
C#输入验证类,防止SQL注入
一只没有感情的AI机械猿
04-17 633
【代码】C#输入验证类,防止SQL注入
c语言 防止sql注入,c#如何防止sql注入?
weixin_36360511的博客
05-24 1994
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入。下面我们给大家介绍C#防止sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值