【原创】C#通用权限管理-程序安全检查,这些你一定要考虑到位

最新推荐文章于 2024-04-30 16:44:46 发布
最新推荐文章于 2024-04-30 16:44:46 发布
阅读量63 收藏
点赞数
文章标签: 数据库 ui json
原文链接:http://www.cnblogs.com/wohexiaocai/p/4251581.html
版权

       接触通用权限已经一年,现在使用已经很熟练,分享通用权限管理下面的一些好的开发思想。

       安全漏洞对于一个小项目来说,可能不是特别的重视,对于一个大项目来说,这是特别重要需要注意的,特别是在项目开发中的就要警惕,下面我列举一些项目开发中需要注意的安全

  1. 页面文本框的检查,每个文本框填写的内容是什么类型就是必须用正则表达式进行强制限制,不能随便输入无用的信息,这是第一步
  2. 对于C/S的程序,我们可以直接用正则表达式来限制,对于B/S的页面程序,我们也是需要js验证和后台代码的验证,因为浏览器可以禁止js,让js不起作用,所以我们采取的方式就是两步走,js验证后,需要后台对数据还要严格的校验,防止恶意数据进入数据库,守好大门很重要。
  3. 接口调用安全,通过Post和Get调用接口,知道了服务器的外网IP可以直接调用,所以尽量使用内网,这个就是很大的安全隐患。
  4. 防止Sql注入,特别非数字的文本框,用户直接可以填写update语句,必须要检查,也可以通过限制文本框的字符长度来控制,有很多程序员总是忘记这一点,字符串长度要和数据库表中的字段通过计算的出来,不能太长也不能太短。

     软件开发中,用到最多的两个HTML元素就是input文本框和button标签,当用户通过键盘,鼠标操作文本框将文字内容输入,点击提交我们需要第一步就进行数据校验。

  • B/S文本框

    需要的正则表达式用到每个文本框中,这里共享一个收集的比较好的正则表达式链接常用正则表达式

    通过一些页面安全检查工具进行检测,这里先列举我们开发中用到的安全检查工具AppScan Source,它的一些使用技巧,这里也给出一个链接,AppScan使用分享    

  • C/S文本框

    开发DevExpress Winform程序的Dev提供了很好的正则限制,如图1

  • 接口安全

  当我们的接口通过外网调用的时候是很不安全的,别人知道了URL后可以很轻松的进行调用,由于公司短信接口现在是我负责,每天都在不停的调用发送短信的接口,很多客户端进行调动,产生的短信都有上万条,如果被黑客知道了,那这个就是短信的轰炸机了,所以为了安全起见在接口中做了一下处理,通过内网IP调用接口,外网IP停止使用,看下代码

1             //获取请求的Url地址
2             var ipAddress = DotNet.Business.Utilities.GetIPAddress(true);
3             //必须是内网Ip请求才可以调用接口,做安全检查,不符合要求,直接返回
4             if (!IpHelper.IsLocalIp(ipAddress))
5             {
6                 result = (int)MessageStatus.IpError;
7                 return result;    
8             }

     代码其实没有特别多,就几行代码,这样就可以达到安全的要求了,客户端调用必须填写内网的域名或者IP请求地址,这样程序才能通过检查,我们来看下获取IP地址的这个方法,参数true就是代表了你的服务器是否启用了代理方式,一般服务器如果没有通过nginx代理的话就可以不填写了,如果服务器是被代理过的一定要填写true,这样才可以获取到请求客户端的真是IP地址。

 1         /// <summary>
 2         /// 获取客户端ip地址
 3         /// </summary>
 4         /// <param name="transparent">是否使用了代理</param>
 5         /// <returns>ip地址</returns>
 6         public static string GetIPAddress(bool transparent = false)
 7         {
 8             string ip = string.Empty;
 9             if (System.Web.HttpContext.Current != null)
10             {
11                 if (transparent)
12                 {
13                     if (HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)
14                     {
15                         ip = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
16                     }
17                 }
18                 if (string.IsNullOrWhiteSpace(ip))
19                 {
20                     if (HttpContext.Current.Request.ServerVariables["HTTP_VIA"] != null)
21                     {
22                         ip = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
23                     }
24                     else
25                     {
26                         ip = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"].ToString();
27                     }
28                 }
29             }
30             return ip;
31         }

     接下来我们看下检查是否是本地IP地址的方法,内网地址一般都是192.168等等开头的IP是服务器的内网地址,所以我们判断一下开头就可以得到是否是内网IP的结果。

 1         /// <summary>
 2         /// 检查是否是内网IP
 3         /// </summary>
 4         /// <param name="ipAddress"></param>
 5         /// <returns></returns>
 6         public static bool IsLocalIp(string ipAddress)
 7         {
 8             bool result = false;
 9             if (!string.IsNullOrEmpty(ipAddress))
10             {
11                 if (ipAddress.StartsWith("192.168.") 
12                     || ipAddress.StartsWith("172.")
13                     || ipAddress.StartsWith("10."))
14                 {
15                     result = true;
16                 }
17             }
18             return result;
19         }    
  • Sql安全

对于前台请求的普通文本框,入库之前一定要做防止Sql语句检查,在通用权限管理的代码中,我们一般使用强类型的实体进行数据库的增删改查,不适用拼接Sql语句的方式进行数据库操作, 本人一直很反感拼接Sql然后提交数据库执行,虽然这个在调试的时候很好很快的找到Sql语句的错误在哪里,但是从程序严谨的角度思考这是不正确的,面向对象告诉我们多使用实体,多使用强类型。还在拼接Sql语句一般都是刚进入工作的菜鸟喜欢干的事情,所以开发中一定要多使用ORM快速开发框架(我个人推荐通用权限管理ORM开发框架),兼容多个数据库,可以灵活切换,执行速度快,UI层不拼接Sql语句,参数化查询,多表查询,分页。

对于Sql注入漏洞,可以参考一下 Sql注入漏洞对于我们提交到后台的参数值我们一定要做安全性检查。

 1         #region public static string SqlSafe(string value) 检查参数的安全性
 2         /// <summary>
 3         /// 检查参数的安全性
 4         /// </summary>
 5         /// <param name="value">参数</param>
 6         /// <returns>安全的参数</returns>
 7         public static string SqlSafe(string value)
 8         {
 9             value = value.Replace("'", "''");
10             // value = value.Replace("%", "'%");
11             return value;
12         }
13         #endregion

看下完整的分页请求案例代码,这就是通用权限管理的一些安全小总结

 

        #region public ActionResult List(Pager pager, string beginDate, string endDate, string oldRecordKey, string newValue) 获取修改记录
        /// <summary>
        /// 获取修改记录
        /// </summary>
        /// <param name="pager">分页实体</param>
        /// <param name="beginDate">开始日期</param>
        /// <param name="endDate">结束日期</param>
        /// <param name="oldRecordKey">原主键值,一般是单号</param>
        /// <param name="newValue">修改后新的值</param>
        /// <returns></returns>
        public ActionResult List(Pager pager, string beginDate, string endDate, string oldRecordKey, string newValue)
        {
            var dt1 = DateTime.Now;
            var dbHelper = DbHelperFactory.GetHelper(BaseSystemInfo.BusinessDbType, BaseSystemInfo.BusinessDbConnectionString);
            var paramaterList = new List<KeyValuePair<string, object>>();
            var listWhere = new List<string>();//查询条件
            string conditions = null;
            //变更日期范围
            if (!string.IsNullOrEmpty(beginDate) && !string.IsNullOrEmpty(endDate))
            {
                listWhere.Add(string.Format("{0} BETWEEN TO_DATE({1}, 'yyyy-mm-dd hh24:mi:ss') AND TO_DATE({2}, 'yyyy-mm-dd hh24:mi:ss')", ZTO_MODIFYEntity.FieldCREATE_DATE, dbHelper.GetParameter("beginTime"), dbHelper.GetParameter("endTime")));
                paramaterList.Add(new KeyValuePair<string, object>("beginTime", DbLogic.SqlSafe(Convert.ToDateTime(beginDate + " 00:00:00").ToString(BaseSystemInfo.DateTimeFormat))));
                paramaterList.Add(new KeyValuePair<string, object>("endTime", DbLogic.SqlSafe(Convert.ToDateTime(endDate + " 23:59:59").ToString(BaseSystemInfo.DateTimeFormat))));
            }
            //原主键值
            if (!string.IsNullOrEmpty(oldRecordKey))
            {
                listWhere.Add(string.Format(" {0}  =  {1}", ZTO_MODIFYEntity.FieldRECORED_KEY_OLD, dbHelper.GetParameter(ZTO_MODIFYEntity.FieldRECORED_KEY_OLD)));
                paramaterList.Add(new KeyValuePair<string, object>(dbHelper.GetParameter(ZTO_MODIFYEntity.FieldRECORED_KEY_OLD), DbLogic.SqlSafe(oldRecordKey)));
            }
            //修改后新值
            if (!string.IsNullOrEmpty(newValue))
            {
                listWhere.Add(string.Format(" {0}  =  {1}", ZTO_MODIFYEntity.FieldVALUE_NEW, dbHelper.GetParameter(ZTO_MODIFYEntity.FieldVALUE_NEW)));
                paramaterList.Add(new KeyValuePair<string, object>(dbHelper.GetParameter(ZTO_MODIFYEntity.FieldVALUE_NEW), DbLogic.SqlSafe(newValue)));
            }
            //不是超级管理员或者高权限用户只能看自己的
            if (!HasRole())
            {
                listWhere.Add(string.Format(" {0}  =  {1}", ZTO_MODIFYEntity.FieldCREATE_MAN_ID, dbHelper.GetParameter(ZTO_MODIFYEntity.FieldCREATE_MAN_ID)));
                paramaterList.Add(new KeyValuePair<string, object>(dbHelper.GetParameter(ZTO_MODIFYEntity.FieldCREATE_MAN_ID), UserInfo.Id));
            }
            //获取排序字段
            var sortField = Request["sort"];
            if (string.IsNullOrEmpty(sortField))
            {
                sortField = ZTO_MODIFYEntity.FieldCREATE_DATE;
            }
            sortField += (" " + Request["direction"]);
            int totalRows;
            if (listWhere.Count > 0)
            {
                conditions += string.Join(" AND ", listWhere);//构建查询条件
            }
            //返回列名称
            var backFieldList = new[]
            {
                string.Format("({0}||'-'||{1}){0}",ZTO_MODIFYEntity.FieldTABLE_CODE,ZTO_MODIFYEntity.FieldTABLE_NAME),
                ZTO_MODIFYEntity.FieldCREATE_DATE,
                ZTO_MODIFYEntity.FieldRECORED_KEY_OLD,
                ZTO_MODIFYEntity.FieldCOLOUM_CODE,
                ZTO_MODIFYEntity.FieldCOLOUM_NAME,
                ZTO_MODIFYEntity.FieldVALUE_OLD,
                ZTO_MODIFYEntity.FieldVALUE_NEW,
                ZTO_MODIFYEntity.FieldCREATE_MAN
            };
            var dt = DbLogic.GetDataTableByPage(dbHelper, out totalRows, ZTO_MODIFYEntity.TableName, string.Join(",", backFieldList), pager.pageNo, pager.pageSize, conditions, paramaterList, sortField);
            Hashtable ht = BuildHt(dt, totalRows, dt1);
            return Json(ht, JsonRequestBehavior.AllowGet);
        }
        #endregion

 

好的ORM框架可以帮助我们在工作中应对一些简单的界面,节约时间,就是节约生命。

正在看本人博客的这位童鞋,我看你气度不凡,谈吐间隐隐有王者之气,日后必有一番作为!旁边有“推荐”二字,你就顺手把它点了吧,相得准,我分文不收;相不准,你也好回来找我!

 

转载于:https://www.cnblogs.com/wohexiaocai/p/4251581.html

weixin_33851177
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c#通用权限管理系统
03-18
主要功能有:权限管理、角色管理、部门管理、用户管理、公司管理、模块管理、系统设置。适用 OA、财务、人力等办公软件系统 的二次开发,以关键字(Key)的方式来定义系统的权限,使系统权限分配更加贴合企业需求。提供给开发人员使用,权限的控制需要与系统功能的实现挂接。 ● 权限管理界面,可以进行系统权限的定义操作。 ● 用户权限管理,对用户权限进行自定义设置,也可以继承其他用户、角色 等权限。 ● 角色权限管理,对角色权限进行自定义设置,也可以继承其他角色 等权限。 对系统进行模块化 可以设定公司的树状结构。 进行增、改、删、查 这是权限设置前的基础设置。
C#实现HTTP访问类HttpHelper
深耕物流行业,提供专业的企业级物流API服务,为企业降本增效
09-05 582
C#实现HTTP访问类HttpHelper(asp.net)
IpHelper:以编程方式获取 IP 地址
06-16
帮手 描述 IpHelper 是一个 nanoFramework,用于在 iOS/OSX 应用程序中以编程方式获取 IP 地址。 用法 要运行示例项目, pod install克隆 repo,然后从 Example 目录运行pod install 。 NSLog ( @" %@ " , [IpHelper ipAddressIPV4: YES ]); NSLog ( @" %@ " , [IpHelper ipAddressIPV4: NO ]); NSLog ( @" %@ " , [IpHelper ipAddresses ]); 安装 IpHelper 可通过。 要安装它,只需将以下行添加到您的 Podfile 中: pod "IpHelper" 学分 基于在这个的代码 作者 乔尔达诺·斯卡尔佐, 执照 IpHelper 在 MIT 许可下可用。 有关详细信息,请参阅许可证
100行代码透彻解析RPC原理
Docker的专栏
01-09 224
▲点击上方“分布式实验室”关注公众号回复“1”抽取技术书本文主要论述的是“RPC 实现原理”,那么首先明确一个问题什么是 RPC 呢?RPC 是 Remote Procedure Cal...
C#通用权限
04-10
通用权限架构方便快速开发项目的朋友用, 主要包含菜单权限和方法权限
C# 通用权限管理系统源码、Winform 开发框架源码 devexpress 多主题
03-29
C# Winform 开发框架源码 devexpress 多主题通用权限管理系统源码,devexpress控件库实现权限管理系统,给大家学习参考
通用学生管理系统c#程序报告共24页.pdf.zip
12-03
通用学生管理系统c#程序报告共24页.pdf.zip
权限管理系统(web版+winform版)
09-03
使用Microsoft Visual Studio+SQL Server 2005 开发的权限管理系统(web版+winform版)
C# winform 权限控制 包括角色 用户 权限设置
10-31
C# winform 权限控制 包括角色 用户 权限设置,拿出来共享
C#检测是否有危险字符的SQL字符串过滤方法
09-04
主要介绍了C#检测是否有危险字符的SQL字符串过滤方法,功能非常实用,对于程序设计的安全来说至关重要!需要的朋友可以参考下
winform 权限分配系统
05-12
winform版权限分配,类似web权限分配,动态树,动态数据,动态添加角色分配权限,附带数据库,代码比较多,没做优化,希望高手给予指点。 所有用户密码都是123
C#winform菜单权限分配,与菜单同步的treeView树状菜单权限控制使用心得
CHJ_20160630的博客
04-16 501
在网上查了很多,发现没有讲述关于--C#winform菜单权限分配,与菜单同步的treeView树状菜单权限控制使用--的资料 自己研究了一个使用方法。下面来看看。 我有两个窗体:LOGINFRM,MAINFRM. 首先,说明一点,我的菜单项是通过程序控制动态自动添加到树形控件菜单项的。 第一步,在主窗体MAINFRM中,添加公共变量 public stri...
C# Winform程序请求管理员权限
wenzhao911224的专栏
12-12 3217
static class Program { /// /// 应用程序的主入口点。 /// [STAThread] static void Main(String[] Args) { //获得当前登录的Windows用户标示 System.Security.Pr
C#图片上传,并做安全检测
sodzw709的博客
03-08 806
public void ProcessRequest(HttpContext context) { HttpPostedFile uploadFile = context.Request.Files["file"]; string fileName = Path.GetFileName(uploadFile.FileName);
java线上问题排查之磁盘和网络查看分析(二)
最新发布
wayne_youlu的博客
04-30 545
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
C# 程序获取管理员权限
06-01
C# 中获取管理员权限,可以使用以下代码: ``` using System.Diagnostics; using System.Security.Principal; // 检查当前用户是否为管理员 WindowsIdentity identity = WindowsIdentity.GetCurrent(); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值