asp.net的sql防注入和去除html标记的方法

最新推荐文章于 2022-02-24 16:45:23 发布
最新推荐文章于 2022-02-24 16:45:23 发布
阅读量82 收藏
点赞数
原文链接:http://www.cnblogs.com/elves/p/3629302.html
版权

一、

// <summary>
    /// 过滤标记
    /// </summary>
    /// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param>
    /// <returns>已经去除标记后的文字</returns>
    public static string NoHTML(string Htmlstring)
    {
        if (Htmlstring == null)
        {
            return "";
        }
        else
        {
            //删除脚本
            Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase);
            //删除HTML
            Htmlstring = Regex.Replace(Htmlstring, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"([\r\n])[\s]+", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"-->", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"<!--.*", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(quot|#34);", "\"", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(amp|#38);", "&", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(lt|#60);", "<", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(gt|#62);", ">", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(nbsp|#160);", " ", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(iexcl|#161);", "\xa1", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(cent|#162);", "\xa2", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(pound|#163);", "\xa3", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&(copy|#169);", "\xa9", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, @"&#(\d+);", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
            //删除与数据库相关的词
            Htmlstring = Regex.Replace(Htmlstring, "select", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "insert", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "delete from", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "count''", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "drop table", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "truncate", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "asc", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "mid", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "char", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "exec master", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "and", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net user", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "or", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net", "", RegexOptions.IgnoreCase);
            //Htmlstring =  Regex.Replace(Htmlstring,"*", "", RegexOptions.IgnoreCase);
            //Htmlstring =  Regex.Replace(Htmlstring,"-", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "delete", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "drop", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "script", "", RegexOptions.IgnoreCase);
            //特殊的字符
            Htmlstring = Htmlstring.Replace("<", "");
            Htmlstring = Htmlstring.Replace(">", "");
            Htmlstring = Htmlstring.Replace("*", "");
            Htmlstring = Htmlstring.Replace("-", "");
            Htmlstring = Htmlstring.Replace("?", "");
            Htmlstring = Htmlstring.Replace(",", "");
            Htmlstring = Htmlstring.Replace("/", "");
            Htmlstring = Htmlstring.Replace(";", "");
            Htmlstring = Htmlstring.Replace("*/", "");
            Htmlstring = Htmlstring.Replace("\r\n", "");
            Htmlstring = HttpContext.Current.Server.HtmlEncode(Htmlstring).Trim();
            return Htmlstring;
        }
    }

 

二、

 private bool ProcessSqlStr(string Str)//判断地址栏特殊字符
    {
        bool ReturnValue = true;
        try
        {
            if (Str.Trim() != "")
            {
                //string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";
                string SqlStr = "--¦'¦script¦exec¦iframe¦where¦or¦order¦create¦and¦insert¦select¦delete¦update¦mid¦master¦truncate¦declare";
                string[] anySqlStr = SqlStr.Split('¦');
                foreach (string ss in anySqlStr)
                {
                    if (Str.ToLower().IndexOf(ss) >= 0)
                    {
                        ReturnValue = false;
                        break;
                    }
                }
            }
        }
        catch
        {
            ReturnValue = false;
        }
        return ReturnValue;
    }

 

转载于:https://www.cnblogs.com/elves/p/3629302.html

weixin_30823833
关注
.NET/C# ⾯试题汇总系列:ASP.NET常见面试题 001
Code365
07-07 357
从值类型接口转换到引用类型装箱。从引用类型转换到值类型拆箱。unsafe:非托管代码。不经过CLR运行。RTTI:类型识别系统。代码后植。都不能。动态获取程序集信息Web应用,类似Thread Pool,提高并发性能。虚函数:没有实现的,可由子类继承并重写的函数。抽象函数:规定其非虚子类必须实现的函数,必须被重写。XML即可扩展标记语言。eXtensible Markup Language.标记是指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种信息的文章等。
asp.net面试题(很全面,总共125题)
qq_34573534的博客
07-31 5836
1.维护数据库的完整性、一致性、你喜欢用触发器还是自写业务逻辑?为什么? 答:尽可能用约束(包括CHECK、主键、唯一键、外键、非空字段)实现,这种方式的效率最好;其次用触发器,这种方式可以保证无论何种业务系统访问数据库都能维持数据库的完整性、一致性;最后再考虑用自写业务逻辑实现,但这种方式效率最低、编程最复杂,当为下下之策。 2.什么是事务?什么是锁? 答:事务是指一个工作单元,它包...
html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
ASP.NET MVC Tip #7 – 使用Html.Encode避免JavaScript注入攻击
screes的专栏
10-10 730
原文地址:http://weblogs.asp.net/stephenwalther/archive/2008/06/23/asp-net-mvc-tip-7-prevent-javascript-injection-attacks-with-html-encode.aspx        摘要:在这个Tip中,你将了解到JavaScript注入攻击可能会比你想象的更加严重。Stephen W
HTML赋值,止外部注入方法
weixin_30722589的博客
11-14 165
对于HTML中项目文字的内容设定可能有一下3中方式:$(newOccurPos).text(jsonArray["table_lstRow"][rowData].OccurPos);$(newOccurPos).html(jsonArray["table_lstRow"][rowData].OccurPos);newOccurPos.innerHTML=jsonArray["table_lst...
收集的ASP.NET 注入攻击
程序人生
03-24 691
原文:http://topic.csdn.net/u/20090309/15/e9a12583-73f1-4e4c-9c0c-f49cf271705b.html void Application_BeginRequest(Object sender, EventArgs e)     {         StartProcessRequest();     }     #region  
asp.netsql注入去除html标记的函数
pingqingbo的专栏
12-26 366
//     /// 过滤标记     ///     /// 包括HTML,脚本,数据库关键字,特殊字符的源码     /// 已经去除标记后的文字     public static string NoHTML(string Htmlstring)     {         if (Htmlstring == null)         {             r
.net sql注入的参数过滤方法
weixin_30252709的博客
12-10 329
/// <summary> /// 去除输入字符串中不安全的字符 /// </summary> /// <param name="unSafetyString">不安全的字符串</param> /// <returns>去除不安全字符后的字符串</ret...
ASP.NET留言薄,精简
07-09
ASP.NET Web Forms中,用户界面通常是通过.aspx文件定义的,其中包含HTML标记和服务器控件。服务器控件如TextBox用于输入留言,Button用于提交,GridView或Repeater可以用来显示留言列表。后台代码(.cs文件)处理...
asp.net面试题
01-03
根据提供的文件信息,我们可以整理出一系列与ASP.NET相关的面试题及其关键知识点。下面将对这些题目进行详细解析。 ### ASP.NET面试题知识点 #### 1. 随机生成不重复数字并存储到数组和ArrayList中 - **知识点**:...
C# .NET面试题(一)
qq_43420566的博客
02-24 1929
1. .NET和C#有什么区别 .NET一般指.NET FrameWork框架,它是一种平台,一种技术 C#是一个编程语言,可以基于.NET进行开发 2. 一列数的规则如下: 1、1、2、3、5、8、13、21、34… 求第30位数是多少,用递归算法实现 public class MainClass { public static void Main() { Console.WriteLine(Foo(30)); } public static int Foo(int i
如何html注入
壁花girl的博客
11-22 5366
在编写代码中,如何html注入?我们可以把输入的html便签转换为空字符串 var content=$("#content").val(); //html注入,标签转空字符串 var content1=content.replace(/]+?>/g,''); 也可以把html标签直接转码 //HTML标签转码 function html2Escape(sHtml)
浅谈html转义及止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html
2025年软考高级 - 信息系统项目管理师考试备考全攻略
11-09
2025年软考高级 - 信息系统项目管理师考试备考全攻略
MySQL 5.7从入门到精通 第23章 新闻发布系统数据库设计 共6页.pptx
最新发布
11-09
【课程大纲】 第1章 初始MySQL 共19页.pptx 第2章 MySQL的安装与配置 共14页.pptx 第3章 数据库的基本操作 共11页.pptx 第4章 数据表的基本操作 共26页.pptx 第5章 数据类型和运算符 共17页.pptx 第6章 MySQL函数 共76页.pptx 第7章 查询数据 共48页.pptx 第8章 插入、更新与删除数据 共10页.pptx 第9章 索引 共11页.pptx 第10章 存储过程和函数 共19页.pptx 第11章 视图 共20页.pptx 第12章 触发器 共11页.pptx 第13章 用户管理 共25页.pptx 第14章 数据备份与还原 共21页.pptx 第15章 MySQL日志 共22页.pptx 第16章 性能优化 共18页.pptx 第17章 MySQL Workbench5.2 的使用 共15页.pptx 第18章 MySQL Replication 共27页.pptx 第19章 MySQL Cluster 共49页.pptx 第20章 MySQL管理利器——MySQL Utilities 共5页.pptx 第21章 读写分离的利器——MySQL Proxy 共5页.pptx 第22章 PHP操作MySQL数据库 共7页.pptx 第23章 新闻发布系统数据库设计 共6页.pptx 第24章 论坛管理系统数据库设计 共6页.pptx
ASP.NET SQL注入安全编码实践
"这篇内容主要探讨了.NET环境下如何SQL注入攻击,通过提供的代码示例展示了对POST请求中可能存在的SQL注入进行检查的方法。" 在软件开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意的SQL代码来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值