.net程序防止sql注入的方法

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量150 收藏
点赞数
原文链接:http://www.cnblogs.com/alianhot/archive/2012/03/10/2388844.html
版权
以下是一个.net程序防止sql注入的方法,方式一如下:将下面的代码加入到Global.asax文件中:
   
    ///<summary>
    ///防止SQL注入
    ///</summary>
    ///<param ></param>
    ///<param ></param>
    void Application_BeginRequest(Object sender, EventArgs e)
    {
        StartProcessRequest();
 
    }

#region SQL注入式攻击代码分析

    ///<summary>
    ///处理用户提交的请求
    ///</summary>
    private void StartProcessRequest()
    {
        try
        {
            string getkeys = "";
            string sqlErrorPage = "error.aspx";//转向的错误提示页面
            if (System.Web.HttpContext.Current.Request.QueryString != null)
            {
 
                for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
                    {
                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }
            if (System.Web.HttpContext.Current.Request.Form != null)
            {
                for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                    if (getkeys == "__VIEWSTATE") continue;
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
                    {
                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
           }
        }
        catch
        {
            // 错误处理: 处理用户提交信息!
        }
    }
    ///<summary>
    ///分析用户请求是否正常
    ///</summary>
    ///<param >传入用户提交数据 </param>
    ///<returns>返回是否含有SQL注入式攻击代码 </returns>
    private bool ProcessSqlStr(string Str)
    {
        bool ReturnValue = true;
        try
        {
            if (Str.Trim() != "")
            {
                string SqlStr = "and .exec .insert .select .delete .update .count .* .chr .mid .master .truncate .char .declare";
 
                string[] anySqlStr = SqlStr.Split('.');
                foreach (string ss in anySqlStr)
                {
                    if (Str.ToLower().IndexOf(ss) >= 0)
                    {
                        ReturnValue = false;
                        break;
                    }
                }
            }
        }
        catch
        {
            ReturnValue = false;
        }
        return ReturnValue;
    }
    #endregion
 
 
方法二如下:在App_Code文件夹中加一个类SqlZr.cs 其内容如下
 
public class SqlZr
{
     public SqlZr()
     {
         //
         // TODO: 在此处添加构造函数逻辑
         //
     }
    public static string DelSQLStr(string str)
    {
        if (str == null || str == "")
            return "";
        str = str.Replace(";", "");
        str = str.Replace("'", "");
        str = str.Replace("&", "");
        str = str.Replace("%20", "");
        str = str.Replace("--", "");
        str = str.Replace("==", "");
        str = str.Replace("<", "");
        str = str.Replace(">", "");
        str = str.Replace("%", "");
        str = str.Replace("+", "");
        str = str.Replace("-", "");
        str = str.Replace("=", "");
        str = str.Replace(",", "");
        return str;
    }
}
 
再将所有项目中的 Request.QueryString["id"]改为:
SqlZr .DelSQLStr(Request.QueryString["id"])即可

转载于:https://www.cnblogs.com/alianhot/archive/2012/03/10/2388844.html

weixin_30633405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.Netsql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
.Netsql注入方法总结
weixin_30421809的博客
06-22 496
#防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过滤与检测; #着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: 1 public class SqlInjectHelper:System.Web.UI...
.net防止SQl注入
代码的专栏
12-18 905
//防止SQL注入方法         public bool SqlFilter(string source)         {             int srcLen, decLen = 0;             source = source.ToLower().Trim();             srcLen = source.Length;
.NET里面怎样防止SQL注入
harbour的专栏
07-24 1577
.NETSQL注入方法 SQL语句 利用SqlCommand传参数的方法: string strSQL="SELECT * FROM [user] WHERE user_id=@id"; SqlCommand cmd = new SqlCommand(); cmd.CommandText = strSQL; cmd.Parameters.Add("@id",SqlDbType.V
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6302
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
asp.net 防止SQL注入攻击
01-01
只要做到以下三点,网站就会比较安全了而且维护也简单。 一、数据验证类 代码如下:parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString){ return System.Text.Regular...
.Net程序防止被注入代码(整站通用)分享
10-26
防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入
ASP.NET(VB.NET)防SQL注入脚本程序.rar
07-09
针对ASP.NET(vb.net)下防SQL注入
Asp.Net通用Sql防注入源码
06-06
Asp.Net通用Sql防注入源码 Asp.Net程序员预防程序sql注入攻击的必备知识.
史上最全的.net 防止sql注入攻击的替换文本
04-28
史上最全的.net 防止sql注入攻击的替换文本
.netSQL注入实用代码案例
09-26
防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
asp.net的SQL防注入过滤函数大集合
10-22
常用的asp.net的SQL防注入过滤函数大集合,实用性很高! 执行效率不错!
如何防止sql注入【转载】
10-08
简单的放置sql注入的文档,转载的,希望可以彼此帮助。
C#.NET防止SQL注入式攻击
wenle006的专栏
01-06 2808
防止sql注入式攻击(可用于UI层控制) #region  防止sql注入式攻击(可用于UI层控制)   2    3   /**/ ///    4  ///  判断字符串中是否有SQL攻击代码  5  ///    6  ///  传入用户提交数据  7  ///  true-安全;false-有注入攻击现有;   8  public   bool  ProcessSqlStr( str
.net防止SQL注入 方法
a892886597的专栏
11-14 575
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Configuration; using System.Globalization; namespace Web { public class SqlstrAny : IHttpModule
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
java怎么防止sql注入
最新发布
07-28
在Java中,有几种方法可以防止SQL注入。其中一种方法是使用PreparedStatement。PreparedStatement是一种预编译的SQL语句,它可以在执行之前将参数绑定到查询中,从而避免了直接将用户输入的数据插入到SQL语句中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值