C# Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

最新推荐文章于 2023-12-27 09:32:14 发布
最新推荐文章于 2023-12-27 09:32:14 发布
阅读量208 收藏
点赞数
原文链接:http://www.cnblogs.com/cang12138/p/5311214.html
版权

可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查。

首先,创建一个SQLInjectionHelper类完成恶意代码的检查 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;
/// <summary> 
///SQLInjectionHelper 的摘要说明 
/// </summary> 
public class SQLInjectionHelper
{
    /// <summary> 
    /// 获取Get或Post的数据 
    /// </summary> 
    /// <param name="request"></param> 
    /// <returns></returns> 
    public static bool ValidUrlData(string request)
    {
        bool result = false;
        if (request == "POST")
        {
            for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
            {
                result = ValidData(HttpContext.Current.Request.Form[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        else
        {
            for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
            {
                result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        return result;
    }
    /// <summary> 
    /// 验证是否存在注入代码 
    /// </summary> 
    /// <param name="inputData"></param> 
    /// <returns></returns> 
    private static bool ValidData(string inputData)
    {
        //验证inputData是否包含恶意集合 
        if (Regex.IsMatch(inputData, GetRegexString()))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
    /// <summary> 
    /// 获取正则表达式 
    /// </summary> 
    /// <returns></returns> 
    private static string GetRegexString()
    {
        //构造SQL的注入关键字符,可根据情况自行增减
        string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };
        string str_Regex = ".*(";
        for (int i = 0; i < strChar.Length - 1; i++)
        {
            str_Regex += strChar[i] + "|";
        }
        str_Regex += strChar[strChar.Length - 1] + ").*";
        return str_Regex;
    }
}

有此类后即可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查 。

protected void Application_BeginRequest(object sender, EventArgs e)
{
    bool result = false;
    result = SQLInjectionHelper.ValidUrlData(Request.RequestType.ToUpper());
    if (result)
    {
        Response.Write("您提交的数据有恶意字符");
        Response.End();
    }
}

 

转载于:https://www.cnblogs.com/cang12138/p/5311214.html

weixin_30808253
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码注入
weixin_30546189的博客
04-20 134
有些网站特别容易受到攻击,所以我们要写一写东西止代码注入,首先我们新建一个global.asax文件并在该global.asax.cs文件中添加 1 protected void Application_BeginRequest(object sender, EventArgs e) 2 { 3 //遍历Post参数,隐藏域除外 ...
Global.asax详解
weixin_30436101的博客
08-21 667
转自:http://blog.163.com/zhu_jie66/blog/static/364322642007102744510454/ global.asax是一个文本文件,它提供全局可用代码。这些代码包括应用程序的事件处理程序以及会话事件、方法和静态变量。有时该文件也被称为应用程序文件global.asax文件中的任何代码都是它所在的应用程序的一部分。...
C# global.asax的使用以及事件
yidian_yidi的专栏
12-03 1631
Global文件继承HttpApplication类,Global包含以下事件: Application_Init:应用程序被实例化或者第一次被调用时,该事件被触发。对于所有的HttpApplication实例,它都会被调用。 Application_Disposed:应用程序被销毁前被触发。这是清除以前所用资源的理想位置。 Application_Error:当应用程序遇到一个未处理的异常
C# WebForm的Global.asax文件
LGQ943592312的博客
06-24 556
Global.asax文件是可选的,只有希望在程序的生命周期做某些操作才需要创建 public class Global : System.Web.HttpApplication { /// Web应用程序第一次启动时调用该方法,并且该方法只被调用一次(就是部署到IIS上之后第一次启动这个程序的时候调用一次)。 protected vo...
Asp.net 全局文件Global.asax解析以及优化详细代码
最新发布
qq512929249的专栏
12-27 533
依赖注入:如果你的应用程序使用依赖注入容器,请考虑将依赖项注入到事件处理程序中,而不是在事件处理程序中直接创建它们。删除不必要的代码:定期审查你的 Global.asax 文件,删除不再使用的代码或事件处理程序。代码重用:如果多个事件处理程序需要执行相同的操作,考虑将这些操作封装到一个单独的方法中,并在需要的地方调用该方法。线程安全:由于事件处理程序是在共享环境中执行的,所以应确保你的代码是线程安全的。异步编程:如果可能的话,使用异步方法来执行耗时的任务,以避免阻塞线程池线程并提高应用程序的性能。
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
本教程将详细讲解如何使用Global.asax文件实现一个通用SQL注入策略,以保护ASP.NET应用程序不受此类攻击。 一、SQL注入的原理与危害 SQL注入主要是利用了程序处理用户输入时未进行充分验证的漏洞。攻击者可以...
Global.asax取绝对路径的方法
01-02
您可能感兴趣的文章:asp.net 在global中拦截404错误的实现方法Global.cs中自动获取未处理的异常在Global.asax文件实现通用SQL注入漏洞程序(适应post/get请求)Global.asax取物理路径/取绝对路径具体方法Global...
c# webapi demo code
10-28
6. **路由配置**:在`Global.asax.cs`文件中的`RegisterRoutes`方法,定义了WebAPI的路由规则。默认情况下,WebAPI使用`/{controller}/{id}`格式的路由,其中`controller`是控制器名,`id`是资源的标识符。 7. **...
如何使用Ajax.BeginForm
04-05
**Ajax.BeginForm**是ASP.NET MVC框架中一个非常重要的组件,它允许开发人员在不刷新整个页面的情况下,实现异步的表单提交。这极大地提高了用户体验,因为用户可以在提交数据时保持当前页面的状态。本篇将详细介绍...
Global.asax 文件是什么 有什么作用
12-31
Global.asax 文件,有时候叫做 ASP.NET 应用程序文件,提供了一种在一个中心位置响应应用程序级或模块级事件的方法。你可以使用这个文件实现应用程序安全性以及其它一些任务。下面让我们详细看一下如何在应用程序开发工作中使用这个文件 包含很多方法 各个方法有各自的功能 和执行顺序 来帮助用户完成不同的工作需求
Global.asax 文件是什么
01-18
Global.asax 位于应用程序根目录下。虽然 Visual Studio .NET 会自动插入这个文件到所有的 ASP.NET 项目中,但是它实际上是一个可选文件。删除它不会出问题——当然是在你没有使用它的情况下。.asax 文件扩展名指出它是一个应用程序文件,而不是一个使用 aspx 的 ASP.NET 文件
c# 全站sql注入
06-24
c# 全站sql注入,利用Global.asax、Appcode中添加类的方法
Global.asax文件实现通用SQL注入漏洞程序(适应post/get请求)
10-27
可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
Global.asax实现URL重写
William Lin 的专栏
01-10 2303
URL重写也就是让动态页面伪装成“静态页面”,一方面可以隐藏真实的页面文件地址,另一方面对被搜索引擎的也有好处。(在不支持URLWRITE.NET组件的空间面这是最好的方法)     在ASP.NET中,使用Global.asax可以轻易的实现这个目的,原理简单,具体的代码一看便知:   [csharp] view plaincopy prot
c语言 sql注入,c#如何sql注入?
weixin_36360511的博客
05-24 1951
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入。下面我们给大家介绍C#sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
C#参数化(SQL注入)
One_Piece_Fu的博客
08-08 5759
转:https://blog.csdn.net/lsuwen/article/details/53224945 /* * C#SQL注入式攻击 * Author:ICE FROG * TIME:2016/4/20 */ /* * SQL注入式攻击就是值通过SQL执行语句的漏洞进行百分百匹配条件的攻击 * 那么在执行语句的where语句后面的条件就永远为true * * C#在数据库的这一块...
ASP.NET MVC中的Global.asax文件
05-13
Global.asax是ASP.NET MVC应用程序的全局文件,它是在应用程序...总之,Global.asax文件是ASP.NET MVC应用程序的重要组成部分,它可以帮助你管理应用程序的生命周期事件,并提供一些全局的变量和方法供应用程序使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值