.Net程序如何防止被注入(整站通用)

最新推荐文章于 2024-01-17 10:03:04 发布
最新推荐文章于 2024-01-17 10:03:04 发布
阅读量93 收藏
点赞数
原文链接:http://www.cnblogs.com/liufei88866/archive/2010/01/06/1640078.html
版权

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

一、数据验证类:parameterCheck.cs

    public class parameterCheck{ public static bool isEmailstring emailString{ return System.Text.RegularExpressions.Regex.IsMatchemailString "['\\w_-]+\\.['\\w_-]+*@['\\w_-]+\\.['\\w_-]+*\\.[a-zA-Z]{24}");} public static bool isIntstring intString{ return System.Text.RegularExpressions.Regex.IsMatchintString "^\\d{5}-\\d{4})(\\d{5}$");} public static bool isUSZipstring zipString{ return System.Text.RegularExpressions.Regex.IsMatchzipString "^-[0-9]+$^[0-9]+$");}

    二、Web.config

    在你的Web.config文件中,在<appSettings>下面增加一个标签:如下

    <appSettings> <add key="safeParameters" value="OrderID-int32CustomerEmail-emailShippingZipcode-USzip" /> </appSettings>

    其中key<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

    三、Global.asax

    Global.asax中增加下面一段:

    protected void Application_BeginRequestObject sender EventArgs e{ String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString()。Split'');forint i= 0 i < safeParameters.Length i++{ String parameterName = safeParameters[i].Split'-'[0]String parameterType = safeParameters[i].Split'-'[1]isValidParameterparameterName parameterType);}

    public void isValidParameterstring parameterName string parameterType{ string parameterValue = Request.QueryString[parameterName]ifparameterValue == null return

    ifparameterType.Equals"int32")){ if(!parameterCheck.isIntparameterValue)) Response.Redirect"parameterError.aspx");} else if parameterType.Equals"double")){ if(!parameterCheck.isDoubleparameterValue)) Response.Redirect"parameterError.aspx");} else if parameterType.Equals"USzip")){ if(!parameterCheck.isUSZipparameterValue)) Response.Redirect"parameterError.aspx");} else if parameterType.Equals"email")){ if(!parameterCheck.isEmailparameterValue)) Response.Redirect"parameterError.aspx");}

    以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型

转载于:https://www.cnblogs.com/liufei88866/archive/2010/01/06/1640078.html

weixin_30787531
关注
.net 防止SQL注入的方法
04-07
.net 防止SQL注入的方法.net 防止SQL注入的方法
.Net程序防止注入代码(整站通用)分享
01-01
做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。 一、数据验证类:parameterCheck.cs 代码如下:public class parameterCheck{ public static bool isEmail(string emailString){...
C#防SQL注入代码实现方法
小程序员 大梦想
01-14 7261
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。下面说下网站防注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高而且处理速度也快四:屏蔽SQL,javascript等
ASP.NET防止注入攻击
程序员天空
05-31 896
概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和IP地址等.  弱输入校验通常为注入攻击提供了机会.下面是常见的利用弱输入校验或无输入校验进行攻击的手段.SQL 注入(SQL injection). 如果你使用用户的输入值来动态构造SQL语句,那么数据库可能执
Asp.net注入
Java_c#
01-20 876
protected void Btn_result_Click(object sender, EventArgs e)//防注入方法     {         StringBuilder strSql = new StringBuilder();         strSql.Append("select * from [user] where username=@username a
.NET中如何防止注入攻击
huangchangxu的专栏
11-05 468
目的: 对输入的字串长度,范围,格式和类型进行约束.  在开发ASP.NET程序时使用请求验证防止注入攻击.  使用ASP.NET验证控件进行输入验证.  对不安全的输出编码.  使用命令参数集模式防止注入攻击.  防止错误的详细信息被返回到客户端.  概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程
.Net 通用注入代码
双鱼达摩
09-23 635
using System; namespace web.comm { /// /// ProcessRequest 的摘要说明。 /// public class ProcessRequest { public ProcessRequest() { // // TODO:
ASP.NET展会整站源码.zip
11-13
这个"ASP.NET展会整站源码.zip"文件显然包含了用于构建一个完整的展会网站的所有源代码。源码通常包括HTML、CSS、JavaScript以及C#或VB.NET等编程语言编写的后端代码,这些代码共同协作以实现网站的功能。 ASP.NET...
茶叶公司整站
03-13
【标题】"茶叶公司整站"所代表的是一个专门针对茶叶行业的完整网站模板或系统,设计风格以清新、自然为主,旨在为茶叶公司提供一个展示产品、传播茶文化、进行在线销售的平台。这样的网站通常包含公司介绍、产品展示...
SQL通用注入系统3.1β版
05-14
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中! 添加<!--#Include File="Neeao_SqlIn.Asp"-->来调用本软件 需要注意的是,在添加到数据库连接文件中,为了不和程序发生冲突, 需添加在...
asp.net 防SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
.Net防sql注入的几种方法
01-01
防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
.net 防SQL注入实用代码案例
09-26
防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
sql注入工具nbsi纯净版
08-04
老牌的sql注入工具nbsi无后门纯净版,保证无后门。自己可以自行检测。
asp.net 全局防注入
09-23 270
<br /><%@ Application Language="C#" %><br /><script runat="server"><br />    void Application_Start(object sender, EventArgs e) <br />    {<br />        //在应用程序启动时运行的代码<br />    }<br />    <br />    void Application_End(object sender, EventArgs e) <br />  
asp.net防止注入式攻击
shirlly
02-16 228
概要: 本文主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服务器端对所有的用户输入进行校验.使用基于客户端的验证可以减少页面的住返次数,改进性能,改善用户体验,但是不要仅仅依赖于此,因为客户...
.Net 全局过滤,防止SQL注入
最新发布
灵感源于学习的博客
01-17 1128
防止SQL 注入、漏洞修复
.NET防SQL注入方法
rickyll的专栏
01-21 510
SQL语句利用SqlCommand传参数的方法:string strSQL="SELECT * FROM [user] WHERE user_id=@id";SqlCommand cmd = new SqlCommand();cmd.CommandText = strSQL;cmd.Parameters.Add("@id",SqlDbType.VarChar,20).Value=Req
【翻译】在.NET下如何预防XXE注入攻击
sky 胡萝卜星星
07-06 2833
接下来关于.NET中XXE注入的内容来自Dean Fleming单元测试的Web站点:https://github.com/deanf1/dotnet-security-unit-tests。该站点覆盖了目前.NET下支持的所有XML解析器,且测试用例均展示了哪些情况下它们对于XXE注入而言是安全的,哪些情况下又是不安全的。这些内容更早之前是基于James Jardine这篇关于.NET XXE的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值