【.NET】反SQL注入类 C#

最新推荐文章于 2023-05-16 07:40:27 发布
最新推荐文章于 2023-05-16 07:40:27 发布
阅读量128 收藏
点赞数
文章标签: c# 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39312554/article/details/109813120
版权 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Web;

namespace BLL
{
    public class SqlKey
    {
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
        public SqlKey(System.Web.HttpRequest _request)
        {
            // 
            // TODO: 在此处添加构造函数逻辑 
            // 
            this.request = _request;
        }

        ///** <summary> 
        /// 只读属性 SQL关键字 
        /// </summary> 
        public static string KeyWord
        {
            get
            {
                return StrKeyWord;
            }
        }
        ///** <summary> 
        /// 只读属性过滤特殊字符 
        /// </summary> 
        public static string RegexString
        {
            get
            {
                return StrRegex;
            }
        }
        ///** <summary> 
        /// 检查URL参数中是否带有SQL注入可能关键字。 
        /// </summary> 
        /// <param name="_request">当前HttpRequest对象</param> 
        /// <returns>存在SQL注入关键字true存在,false不存在</returns> 
        public bool CheckRequestQuery()
        {
            if (request.QueryString.Count != 0)
            {
                //若URL中参数存在,逐个比较参数。 
                foreach (string i in this.request.QueryString)
                {
                    // 检查参数值是否合法。 
                    if (i == "__VIEWSTATE") continue;
                    if (i == "__EVENTVALIDATION") continue;
                    if (CheckKeyWord(request.QueryString[i].ToString()))
                    {
                        return true;
                    }
                }
            }
            return false;
        }

        ///** <summary> 
        /// 检查提交表单中是否存在SQL注入可能关键字 
        /// </summary> 
        /// <param name="_request">当前HttpRequest对象</param> 
        /// <returns>存在SQL注入关键字true存在,false不存在</returns> 
        public bool CheckRequestForm()
        {
            if (request.Form.Count > 0)
            {

                //获取提交的表单项不为0 逐个比较参数 
                foreach (string i in this.request.Form)
                {
                    if (i == "__VIEWSTATE") continue;
                    if (i == "__EVENTVALIDATION") continue;
                    //检查参数值是否合法 
                    if (CheckKeyWord(request.Form[i]))
                    {
                        //存在SQL关键字 
                        return true;

                    }
                }
            }
            return false;
        }

        ///** <summary> 
        /// 静态方法,检查_sword是否包涵SQL关键字 
        /// </summary> 
        /// <param name="_sWord">被检查的字符串</param> 
        /// <returns>存在SQL关键字返回true,不存在返回false</returns> 
        public static bool CheckKeyWord(string _sWord)
        {
            string word = _sWord;
            string[] patten1 = StrKeyWord.Split('|');
            string[] patten2 = StrRegex.Split('|');
            foreach (string i in patten1)
            {
                if (word.Contains(" " + i) || word.Contains(i + " "))
                {
                    return true;
                }
            }
            foreach (string i in patten2)
            {
                if (word.Contains(i))
                {
                    return true;
                }
            }
            return false;
        }

        ///** <summary> 
        /// 反SQL注入:返回1无注入信息,否则返回错误处理 
        /// </summary> 
        /// <returns>返回1无注入信息,否则返回错误处理</returns> 
        public string CheckMessage()
        {
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm() 
            {
                msg = "<span style='font-size:24px;'>非法操作!<br>";
                msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";
                msg += "操作时间:" + DateTime.Now + "<br>";
                msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
                //msg += "<a  οnclick="history.back()">返回上一页</a></span>"; 
            }
            return msg.ToString();
        }
    }
}

 

Ray_RuihanWang
关注
C#SQL注入
09-17
C#SQL注入,主要是程序上有漏洞, 尽可能全的过滤SQL敏感的语句, 先把数据库里面注入的代码替换掉
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6709
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql注入
清风自来
05-16 920
sql不止要能高效的执行,还需注意sql注入攻击,下面分享几个攻击的方法: 1、对用户输入的数据做有效性校验 2、不出现动态拼接sql 3、对每个功能使用各自数据库权限 4、不使用管理员权限登录 5、使用参数化的sql ...
C#中一套生成sql条件
程序员天空
05-23 1052
    在进行sql查询的时候,有时候要进行很多条件限制,自己来拼写SQLwhere条件容易出错,而且判断条件复杂,后期维护困难,基于这个原因我在一个小 项目中写了一套生成sql条件。总共包括一个Condition,与两个枚举型型(LogicOper,CompareOper) 代码如下:    public class Condition    ...{        static
【ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
最新发布
05-20
ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入、SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#SQL注入方法一  在Web.config文件中
c#.net全站防止SQL注入的代码
10-27
以下是一个使用C# .NET编写的防止SQL注入,名为`SqlChecker`。 `SqlChecker`主要包含以下几个部分: 1. **构造函数**:提供了三个构造函数,它们接收HttpRequest和HttpResponse对象,用于处理HTTP请求和...
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
在ASP.NETC#环境中,如果你的代码没有正确地处理用户输入,就可能导致SQL注入。例如,如果你直接将用户输入的数据拼接到SQL查询语句中,攻击者可以构造特殊的输入,使得查询执行非预期的操作,如读取、修改或删除...
防止SQL注入
江拥羡橙的博客
05-16 602
SQL注入是比较常见的网络攻击方式之一,它不是利用**操作系统**的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改**数据库**。
winform防止sqlserver注入_C#SQL注入代码的实现方法
weixin_42549117的博客
01-17 245
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。下面说下网站防注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等...
MSSQL注入——弹注入
m0_55854679的博客
02-18 932
文章目录MSSQL【SQL server】弹注入使用场景快速搭建MSSQL环境MSSQL数据库弹注入语句分析OPENDATASOURCE函数练习第一种方法——联合查询注入第二种方法——弹注入+堆叠注入 MSSQL【SQL server】弹注入使用场景 与mysql大同小异,注入思路相同,但用到的函数等不同。 弹注入 => 注入的手法(偏门)oob => 把查询到的数据插入外部的数据库(公网ip),弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上。 快速搭建MSSQL
MSSQL注入弹注入
MSB_WLAQ的博客
10-06 468
MSSQL弹注入原理 依靠 opendatasource 函数,把查询出的数据发送到MSSQL服务器上。 MSSQL弹注入使用场景 用香港云快速搭建一个MSSQL环境 可以用临时邮箱注册免费的试用60天。 免费60天的试用,过期了就换个邮箱。 1.猜数据时为什么不能用数字 根据了MSSQL的特性,虽然不能用数字但可用null和字母填充 2.MSSQL有系统自带库吗 有 为master.dbo.sysdatabase 3.弹注入满足的条件 能否堆叠查询,...
对SQL与捍卫SQL的论战
极道Jdon的技术博客
07-29 116
Jamie Brandon在这里发表了对SQL:首先他认为关系数据库好处是: 共享的通用数据模型允许以多种不同语言编写、在不同机器上运行并具有不同生命周期的程序之间进行协作。 规范化允许更新数据而不必担心忘记更新派生数据。 物理数据独立性允许更改数据结构和查询计划,而无需更改所有查询。 声明性约束清楚地传达了应用程序不变量并自动强制执行。 与命令式语言不同,关系查询语言没有由循环计数器和可别名指针创建的虚假数据依赖性。这使得关系语言: 非常适合现代机器。可以重新...
SQL模式(七)
yin__ren的博客
12-23 500
欢迎参考 SQL模式(前言)的数据库设计此文章只是给自己做一个小抄,如有冒犯,还忘见谅1. 非礼勿视 目标: 写更少的代码 识别模式 解决方案 保持节奏 检查数据库 API 调用的返回状态和异常。 回溯你的脚步 2. 外交豁免权 目标: 采用最佳实践 将源代码使用版本控制工具
C#生成sql条件
weixin_30851409的博客
02-03 98
在进行sql查询的时候,有时候要进行很多条件限制,自己来拼写SQLwhere条件容易出错,而且判断条件复杂,后期维护困难, 基于这个原因我在一个小项目中写了一套生成sql条件。总共包括一个Condition,与两个枚举型型(LogicOper,CompareOper) using System; using System.Collections.Generic; us...
关于多重条件的搜索查询(sql server+c#
weixin_30667301的博客
03-31 777
昨天碰到一个多条件查询的问题,一共是10几个条件多重查询,关键问题是,他是用户在页面上选择或者填写搜索条件,所以存在有的条件为空值的情况,注意哦这边的空值不是Null哦而是一个空string值,因为限制条件太多了,无法进行一一的进行if的比较,后来我想到了一个比较变态的方法,其实很多刚接触到网络的人应该知道‘注入’这个词,最简单的就是在登录的地方骗取登录,让name=name恒为真这样的方法,根据...
C# .NET SQL注入防御实现
该资源提供了一个C# .NET`SqlChecker`,用于全站防止SQL注入攻击。中包含了对HTTP请求和响应的处理,以及对可能的SQL关键字和特殊符号的检查。 在Web开发中,SQL注入是一种常见的安全威胁,攻击者可以通过输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值