SQL过滤以及防注入式攻击

最新推荐文章于 2022-06-27 22:08:58 发布
最新推荐文章于 2022-06-27 22:08:58 发布
阅读量117 收藏
点赞数
分类专栏: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39366406/article/details/99309623
版权 
  public class StringHelper {
    /// <summary>
    /// 过滤字符
    /// </summary>
    /// <param name="str"></param>
    /// <returns></returns>
    public static string StringClear(string str)
    {
        string[] aryReg = { "'", "<", ">", "%", "\"\"", ",", ".", ">=", "=<", "-", "_", ";", "||", "[", "]", "&", "/", "-", "|", " ", };
        for (int i = 0; i < aryReg.Length; i++)
        {
            str = str.Replace(aryReg[i], string.Empty);
        }
        return str;
    }

    #region String length formatter
    /// <summary>
    /// 对字符串进行裁剪
    /// </summary>
    public static string Trim(string stringTrim, int maxLength)
    {
        return Trim(stringTrim, maxLength, "...");
    }
    /// <summary>
    /// 对字符串进行裁剪(区分单字节及双字节字符)
    /// </summary>
    /// <param name="rawString">需要裁剪的字符串</param>
    /// <param name="maxLength">裁剪的长度,按双字节计数</param>
    /// <param name="appendString">如果进行了裁剪需要附加的字符</param>
    public static string Trim(string rawString, int maxLength, string appendString)
    {
        if (string.IsNullOrEmpty(rawString) || rawString.Length <= maxLength)
        {
            return rawString;
        }
        else
        {
            int rawStringLength = Encoding.UTF8.GetBytes(rawString).Length;
            if (rawStringLength <= maxLength * 2)
                return rawString;
        }
        int appendStringLength = Encoding.UTF8.GetBytes(appendString).Length;
        StringBuilder checkedStringBuilder = new StringBuilder();
        int appendedLenth = 0;
        for (int i = 0; i < rawString.Length; i++)
        {
            char _char = rawString[i];
            checkedStringBuilder.Append(_char);
            appendedLenth += Encoding.Default.GetBytes(new char[] { _char }).Length;
            if (appendedLenth >= maxLength * 2 - appendStringLength)
                break;
        }
        return checkedStringBuilder.ToString() + appendString;
    }
    #endregion
    #region 特殊字符
    /// <summary>
    /// 检测是否有Sql危险字符
    /// </summary>
    /// <param name="str">要判断字符串</param>
    /// <returns>判断结果</returns>
    public static bool IsSafeSqlString(string str)
    {
        return !Regex.IsMatch(str, @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']");
    }
    /// <summary>
    /// 删除SQL注入特殊字符
    ///加入对输入参数sql为Null的判断
    /// </summary>
    public static string StripSQLInjection(string sql)
    {
        if (!string.IsNullOrEmpty(sql))
        {
            //过滤 ' --
            string pattern1 = @"(')|(')|(--)";
            //防止执行 ' or
            string pattern2 = @"((')|('))s*((o)|o|(O))((r)|r|(R))";
            //防止执行sql server 内部存储过程或扩展存储过程
            string pattern3 = @"s+exec(s|+)+(s|x)pw+";
            sql = Regex.Replace(sql, pattern1, string.Empty, RegexOptions.IgnoreCase);
            sql = Regex.Replace(sql, pattern2, string.Empty, RegexOptions.IgnoreCase);
            sql = Regex.Replace(sql, pattern3, string.Empty, RegexOptions.IgnoreCase);
        }
        return sql;
    }
    public static string SQLSafe(string Parameter)
    {
        Parameter = Parameter.ToLower();
        Parameter = Parameter.Replace("'", "");
        Parameter = Parameter.Replace(">", ">");
        Parameter = Parameter.Replace("<", "<");
        Parameter = Parameter.Replace("n", "<br>");
        Parameter = Parameter.Replace("", "·");
        return Parameter;
    }
    /// <summary>
    /// 清除xml中的不合法字符
    /// </summary>
    /// <remarks>
    /// 无效字符:
    /// 0x00 - 0x08
    /// 0x0b - 0x0c
    /// 0x0e - 0x1f
    /// </remarks>
    public static string CleanInvalidCharsForXML(string input)
    {
        if (string.IsNullOrEmpty(input))
            return input;
        else
        {
            StringBuilder checkedStringBuilder = new StringBuilder();
            Char[] chars = input.ToCharArray();
            for (int i = 0; i < chars.Length; i++)
            {
                int charValue = Convert.ToInt32(chars[i]);
                if ((charValue >= 0x00 && charValue <= 0x08) || (charValue >= 0x0b && charValue <= 0x0c) || (charValue >= 0x0e && charValue <= 0x1f))
                    continue;
                else
                    checkedStringBuilder.Append(chars[i]);
            }
            return checkedStringBuilder.ToString();
            //string result = checkedStringBuilder.ToString();
            //result = result.Replace("&#x0;", "");
            //return Regex.Replace(result, @"[?-\ -\?-?]", delegate(Match m) { int code = (int)m.Value.ToCharArray()[0]; return (code > 9 ? "&#" + code.ToString() : "&#0" + code.ToString()) + ";"; });
        }
    }
    /// <summary>
    /// 改正sql语句中的转义字符
    /// </summary>
    public static string mashSQL(string str)
    {
        return (str == null) ? "" : str.Replace("'", "'");
    }
    /// <summary>
    /// 替换sql语句中的有问题符号
    /// </summary>
    public static string ChkSQL(string str)
    {
        return (str == null) ? "" : str.Replace("'", "''");
    }

    /// <summary>
    /// 分析用户请求是否正常
    /// </summary>
    /// <param name="Str">传入用户提交数据</param>
    /// <returns>返回是否含有SQL注入式攻击代码</returns>
    public static string ChkSqlStr(string Str)
    {
        string SqlStr = "net user|exec|net localgroup|select|asc|char|mid|insert|order|exec|delete|drop|truncate|xp_cmdshell";
        string ReturnValue = Str;
        try
        {
            if (Str != "")
            {
                string[] anySqlStr = SqlStr.Split('|');
                foreach (string ss in anySqlStr)
                {
                    if (Str.ToLower().IndexOf(ss) >= 0)
                    {
                        ReturnValue = "";
                    }
                }
            }
        }
        catch
        {
            ReturnValue = Str;
        }
        return ReturnValue;
    }

    #endregion
    #region Tools
    /// <summary>
    /// 去掉最后一个逗号
    /// </summary>
    /// <param name="String">要做处理的字符串</param>
    /// <returns>去掉最后一个逗号的字符串</returns>
    public static string DelLastComma(string String)
    {
        if (String.IndexOf(",") == -1)
        {
            return String;
        }
        return String.Substring(0, String.LastIndexOf(","));
    }
    /// <summary>
    /// 删除最后一个字符
    /// </summary>
    /// <param name="str"></param>
    /// <returns></returns>
    public static string ClearLastChar(string str)
    {
        return (str == "") ? "" : str.Substring(0, str.Length - 1);
    }
    /// <summary>
    /// html编码
    /// </summary>
    /// <param name="chr"></param>
    /// <returns></returns>
    public static string html_text(string chr)
    {
        if (chr == null)
            return "";
        chr = chr.Replace("'", "''");
        chr = chr.Replace("<", "<");
        chr = chr.Replace(">", ">");
        return (chr);
    }
    /// <summary>
    /// html解码
    /// </summary>
    /// <param name="chr"></param>
    /// <returns></returns>
    public static string text_html(string chr)
    {
        if (chr == null)
            return "";
        chr = chr.Replace("<", "<");
        chr = chr.Replace(">", ">");
        return (chr);
    }
    public static bool JustifyStr(string strValue)
    {
        bool flag = false;
        char[] str = "^<>'=&*, ".ToCharArray(0, 8);
        for (int i = 0; i < 8; i++)
        {
            if (strValue.IndexOf(str[i]) != -1)
            {
                flag = true;
                break;
            }
        }
        return flag;
    }
    public static string CheckOutputString(string key)
    {
        string OutputString = string.Empty;
        OutputString = key.Replace("<br>", "n").Replace("<", "<").Replace(">", ">").Replace(" ", " ");
        return OutputString;
    }
    #endregion

}
x-box入侵者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#类实现字符串的公共操作二——字符串过滤
caixm
05-06 1337
using System;using System.Drawing;using System.Web;using System.Web.UI;using System.Web.UI.WebControls;using System.Text.RegularExpressions;using System.IO;using System.Drawing.Imaging;using System.Te
C#实现过滤sql特殊字符的方法集合
12-31
本文实例讲述了C#实现过滤sql特殊字符的方法集合。分享给大家供大家参考,具体如下: 1. /// <summary> /// 过滤不安全的字符串 /// </summary> /// <param name=Str></param> /// <returns></returns> public static string FilteSQLStr(string Str) { Str = Str.Replace(', ); Str = Str.Replace(\, ); Str = Str.Replace(&, &); Str = Str.R
正则表达式SQL注入
温水中的青蛙
08-20 2685
本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.首先用一个Validate()类来封装正则表达式和相关操作:    //验证是否有SQL注入字符    private bool Va
过滤SQL非法字符串
Chenindex的专栏
12-06 3040
<br /> /// <summary> /// 过滤SQL非法字符串 /// </summary> /// <param name="value"></param> /// <returns></returns> public static string Filter(string value) { if (string.IsNullOrEmpty(value))
SQL 注入式攻击的本质
09-11
SQL注入式攻击是一种常见的网络安全威胁,它发生在Web应用程序中,尤其是那些处理用户输入数据的系统。这种攻击方式的根源在于程序员在编写代码时没有正确地过滤、验证或转义用户提供的输入,导致恶意用户可以插入...
SQLInnerSQL注入式攻击源码
最新发布
04-10
7. **白名单或黑名单过滤**:SQLInner可能有内置的规则,只允许特定的字符或字符串,或者阻止已知的注入攻击模式。 8. **日志和异常处理**:通过记录和分析异常情况,SQLInner可以帮助识别潜在的攻击尝试,并采取...
SQL 注入式攻击的终极
10-30
SQL注入式攻击是一种常见的网络安全威胁,它利用了程序员在编写SQL查询时未能充分过滤或验证用户输入的问题。攻击者可以通过构造特殊的输入,使得查询语句的含义发生变化,从而执行恶意的数据库操作,如窃取数据、...
SQL注入式攻击
08-11
SQL注入式攻击是一种常见的网络安全威胁,它利用了不安全的SQL语句设计,使得恶意用户可以通过输入特定的数据来操纵数据库。这种攻击方式可能导致数据泄露、数据篡改甚至整个系统的瘫痪。以下是一些关于SQL注入...
asp.net下检测SQL注入式攻击代码
10-29
### ASP.NET 下检测 SQL 注入攻击的代码分析与实践 #### 概述 在现代Web开发中,确保应用程序的安全性至关重要。SQL注入是一种常见的安全威胁,攻击者通过将恶意SQL命令插入到查询语句中来操纵数据库。为了保护...
C#实现简单过滤非法字符实例
01-01
本文实例讲述了C#实现简单过滤非法字符的方法。分享给大家供大家参考,具体如下: #region 过滤非法字符 public static string encoding(string src) { if (src == null) return ; StringBuilder result = new StringBuilder(); if (src != null) { src = src.Trim(); for (int pos = 0; pos < src.Length; pos++) { switch (src[pos])
C#检测是否有危险字符的SQL字符串过滤方法
09-04
主要介绍了C#检测是否有危险字符的SQL字符串过滤方法,功能非常实用,对于程序设计的安全来说至关重要!需要的朋友可以参考下
asp.net的SQL注入过滤函数大集合
10-22
常用的asp.net的SQL注入过滤函数大集合,实用性很高! 执行效率不错!
C#基础-replace()过滤非法字符
weixin_30659829的博客
04-24 154
1 string FilterfileName(string strName) 2 { 3 string result=string.Empty ; 4 if (string.IsNullOrWhiteSpace(strName)) 5 { 6 //do something 7 } 8 else 9 ...
【c#操作小技巧】过滤非法字符串
zhaoyang314的博客
06-27 880
【c#操作小技巧】过滤非法字符串
C# 去除字符串中的非法字符
记录学习中的点点滴滴,分享学习中的分分秒秒
09-14 6415
/// /// 检查是否含有非法字符 /// /// 要检查的字符串 /// public static bool ChkBadChar(string str) {  bool result = false;  if (string.IsNullOrEmpty(str))  return result;  string strBadChar, tempChar;  st
C#对于字符串的处理类(剪裁、过滤危险字符、替换sql中有问题符号等)
Working harder, getting stronger!
11-26 6578
[csharp] view plaincopyprint? using System;   using System.Collections.Generic;   using System.Linq;   using System.Text;   using System.Text.RegularExpressions;      namespace BI
范ASP中的SQL注入攻击策略
"ASP中SQL注入式攻击范" 在ASP(Active Server Pages)开发的Web应用中,SQL注入式攻击是一种常见的安全威胁。攻击者利用编程设计中的疏漏,通过在Web表单输入域或者查询字符串中嵌入恶意SQL代码,使得这些恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值