检测SQL注入式攻击代码

最新推荐文章于 2024-05-29 11:31:53 发布
最新推荐文章于 2024-05-29 11:31:53 发布
阅读量521 收藏
点赞数
文章标签: ui
原文链接:https://yq.aliyun.com/articles/387860
版权

(页面数据校验类)PageValidate.cs 基本通用。

using System;
using System.Text;
using System.Web;
using System.Web.UI.WebControls;
using System.Text.RegularExpressions;

namespace Common
{
	/// <summary>
	/// 页面数据校验类
	/// </summary>
	public class PageValidate
	{
		private static Regex RegNumber = new Regex("^[0-9]+$");
		private static Regex RegNumberSign = new Regex("^[+-]?[0-9]+$");
		private static Regex RegDecimal = new Regex("^[0-9]+[.]?[0-9]+$");
		private static Regex RegDecimalSign = new Regex("^[+-]?[0-9]+[.]?[0-9]+$"); //等价于^[+-]?\d+[.]?\d+$
		private static Regex RegEmail = new Regex("^[\\w-]+@[\\w-]+\\.(com|net|org|edu|mil|tv|biz|info)$");//w 英文字母或数字的字符串,和 [a-zA-Z0-9] 语法一样 
		private static Regex RegCHZN = new Regex("[\u4e00-\u9fa5]");

		public PageValidate()
		{
		}


		#region 数字字符串检查		
		
		/// <summary>
		/// 检查Request查询字符串的键值,是否是数字,最大长度限制
		/// </summary>
		/// <param name="req">Request</param>
		/// <param name="inputKey">Request的键值</param>
		/// <param name="maxLen">最大长度</param>
		/// <returns>返回Request查询字符串</returns>
		public static string FetchInputDigit(HttpRequest req, string inputKey, int maxLen)
		{
			string retVal = string.Empty;
			if(inputKey != null && inputKey != string.Empty)
			{
				retVal = req.QueryString[inputKey];
				if(null == retVal)
					retVal = req.Form[inputKey];
				if(null != retVal)
				{
					retVal = SqlText(retVal, maxLen);
					if(!IsNumber(retVal))
						retVal = string.Empty;
				}
			}
			if(retVal == null)
				retVal = string.Empty;
			return retVal;
		}		
		/// <summary>
		/// 是否数字字符串
		/// </summary>
		/// <param name="inputData">输入字符串</param>
		/// <returns></returns>
		public static bool IsNumber(string inputData)
		{
			Match m = RegNumber.Match(inputData);
			return m.Success;
		}		
		/// <summary>
		/// 是否数字字符串 可带正负号
		/// </summary>
		/// <param name="inputData">输入字符串</param>
		/// <returns></returns>
		public static bool IsNumberSign(string inputData)
		{
			Match m = RegNumberSign.Match(inputData);
			return m.Success;
		}		
		/// <summary>
		/// 是否是浮点数
		/// </summary>
		/// <param name="inputData">输入字符串</param>
		/// <returns></returns>
		public static bool IsDecimal(string inputData)
		{
			Match m = RegDecimal.Match(inputData);
			return m.Success;
		}		
		/// <summary>
		/// 是否是浮点数 可带正负号
		/// </summary>
		/// <param name="inputData">输入字符串</param>
		/// <returns></returns>
		public static bool IsDecimalSign(string inputData)
		{
			Match m = RegDecimalSign.Match(inputData);
			return m.Success;
		}		

		#endregion

		#region 中文检测

		/// <summary>
		/// 检测是否有中文字符
		/// </summary>
		/// <param name="inputData"></param>
		/// <returns></returns>
		public static bool IsHasCHZN(string inputData)
		{
			Match m = RegCHZN.Match(inputData);
			return m.Success;
		}	

		#endregion

		#region 邮件地址
		/// <summary>
		/// 是否是浮点数 可带正负号
		/// </summary>
		/// <param name="inputData">输入字符串</param>
		/// <returns></returns>
		public static bool IsEmail(string inputData)
		{
			Match m = RegEmail.Match(inputData);
			return m.Success;
		}		

		#endregion

		#region 其他

		/// <summary>
		/// 检查字符串最大长度,返回指定长度的串
		/// </summary>
		/// <param name="sqlInput">输入字符串</param>
		/// <param name="maxLength">最大长度</param>
		/// <returns></returns>			
		public static string SqlText(string sqlInput, int maxLength)
		{			
			if(sqlInput != null && sqlInput != string.Empty)
			{
				sqlInput = sqlInput.Trim();							
				if(sqlInput.Length > maxLength)//按最大长度截取字符串
					sqlInput = sqlInput.Substring(0, maxLength);
			}
			return sqlInput;
		}		
		/// <summary>
		/// 字符串编码
		/// </summary>
		/// <param name="inputData"></param>
		/// <returns></returns>
		public static string HtmlEncode(string inputData)
		{
			return HttpUtility.HtmlEncode(inputData);
		}
		/// <summary>
		/// 设置Label显示Encode的字符串
		/// </summary>
		/// <param name="lbl"></param>
		/// <param name="txtInput"></param>
		public static void SetLabel(Label lbl, string txtInput)
		{
			lbl.Text = HtmlEncode(txtInput);
		}
		public static void SetLabel(Label lbl, object inputObj)
		{
			SetLabel(lbl, inputObj.ToString());
		}		
		//字符串清理
		public static string InputText(string inputString, int maxLength) 
		{			
			StringBuilder retVal = new StringBuilder();

			// 检查是否为空
			if ((inputString != null) && (inputString != String.Empty)) 
			{
				inputString = inputString.Trim();
				
				//检查长度
				if (inputString.Length > maxLength)
					inputString = inputString.Substring(0, maxLength);
				
				//替换危险字符
				for (int i = 0; i < inputString.Length; i++) 
				{
					switch (inputString[i]) 
					{
						case '"':
							retVal.Append(""");
							break;
						case '<':
							retVal.Append("<");
							break;
						case '>':
							retVal.Append(">");
							break;
						default:
							retVal.Append(inputString[i]);
							break;
					}
				}				
				retVal.Replace("'", " ");// 替换单引号
			}
			return retVal.ToString();
			
		}
		/// <summary>
		/// 转换成 HTML code
		/// </summary>
		/// <param name="str">string</param>
		/// <returns>string</returns>
		public static string Encode(string str)
		{			
			str = str.Replace("&","&");
			str = str.Replace("'","''");
			str = str.Replace("\"",""");
			str = str.Replace(" ","&nbsp;");
			str = str.Replace("<","<");
			str = str.Replace(">",">");
			str = str.Replace("\n","<br>");
			return str;
		}
		/// <summary>
		///解析html成 普通文本
		/// </summary>
		/// <param name="str">string</param>
		/// <returns>string</returns>
		public static string Decode(string str)
		{			
			str = str.Replace("<br>","\n");
			str = str.Replace(">",">");
			str = str.Replace("<","<");
			str = str.Replace("&nbsp;"," ");
			str = str.Replace(""","\"");
			return str;
		}

		#endregion


	}
}
 
 
 
通用文件(Global.asax),保存为Global.asax文件名 放到网站根木马下即可。
 
 
C#serverprotectedvoid///    <summary>   /// 处理用户提交的请求   ///    </summary>   privatevoidtrystringifnullforintifGet,出现错误,包含非法字符串ifnullforintif__VIEWSTATEcontinueifPost,出现错误,包含非法字符串ifnullforintif__VIEWSTATEcontinueifCookies,出现错误,包含非法字符串catch// 错误处理: 处理用户提交信息!   ///    <summary>   /// 分析用户请求是否正常   ///    </summary>   ///    <param name="Str">传入用户提交数据   </param>   ///    <returns>返回是否含有SQL注入式攻击代码   </returns>   privateboolstringbooltruetryifstringselect|insert|delete|update|declare|sysobjects|syscolumns|cast|truncate|master|mid|execstringforeachstringiniffalsebreakcatchfalsereturn

// --></mce:script>


本文转自曾祥展博客园博客,原文链接:http://www.cnblogs.com/zengxiangzhan/archive/2009/10/27/1590685.html,如需转载请自行联系原作者


weixin_33923762
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入攻击
m0_56060952的博客
02-23 218
SQL注入攻击
SQL注入漏洞
weixin_44722125的博客
03-17 429
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模应用开发的发展,使用这种模编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注...
SQL注入攻击是什么?如何预防?
最新发布
05-29 996
SQL注入攻击是一种利用Web应用程序中的安全漏洞,将恶意的SQL代码插入到数据库查询中的攻击攻击者通过在Web应用程序的输入字段中插入恶意的SQL代码,然后在后台的数据库服务器上解析执行这些代码,从而获取或修改数据库中的数据,或者执行其他非法操作。
【DVWA系列】七、SQL Injection SQL注入(源码分析&漏洞利用)
Pluto.的博客
03-12 1277
文章目录DVWASQL Injection SQL注入一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA SQL Injection SQL注入 一、Low 级别 对来自客户端的参数id没有进行任何的检查与过滤 查询 id 为1 判断注入是字符型还是数字型 注入 1' 发现报错信息为: You have an error in your SQL syntax; check the manual that corresponds to your M
asp.net下检测SQL注入攻击代码
10-29
防网站被攻击代码
防止SQL注入攻击
08-11
SQL注入攻击是一种常见的网络安全威胁,它利用了不安全的SQL语句设计,使得恶意用户可以通过输入特定的数据来操纵数据库。这种攻击可能导致数据泄露、数据篡改甚至整个系统的瘫痪。以下是一些关于防止SQL注入...
SQL 注入攻击的终极防范
10-30
SQL注入攻击是一种常见的网络安全威胁,它利用了程序员在编写SQL查询时未能充分过滤或验证用户输入的问题。攻击者可以通过构造特殊的输入,使得查询语句的含义发生变化,从而执行恶意的数据库操作,如窃取数据、...
SQL注入攻击的分析与防范.pdf
09-19
SQL注入攻击是一种常见的网络安全威胁,它主要针对使用SQL(结构化查询语言)与数据库交互的Web应用程序。攻击者通过在输入字段中插入恶意的SQL代码,使得原本合法的SQL查询变得恶意,从而获取敏感信息、篡改或...
SQL注入攻击
gaofangxw的博客
06-13 1796
加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了"消毒"处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击注入SQL命令。(4)用户输入的内容提交给服务器之后,服务器运行上面的ASP.NET代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
SQL注入漏洞扫描检测
12-20
SQL注入检测的全套代码和论文介绍,C#,Web应用漏洞检测技术,是一种针对web应用的积极防御技术。该技术在应用尚未遭受攻击前,模拟黑客攻击的方对目标系统进行各种探测,发现系统潜在的漏洞。由于web应用工作在HTTP应用层协议上,所以传统的防火墙、IDS等网络层防护设备不能对其进行保护,此时就需要web应用漏洞检测工具对系统的应用层进行保护,二者互补不足,共同保护web系统的安全。
JAVA实现sql注入检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
SQL注入漏洞演示源代码
02-21
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
Web扫描SQL注入漏洞 Java版
05-03
带源码的Java版的web注入漏洞扫描工具
Sql注入漏洞测试sqli-lab(1-50)
vsdfbhsdhsdfh的博客
09-30 1397
Sql注入漏洞测试sqli-lab
SQL注入攻击实战演示(附源码)
hack0919的博客
03-31 4313
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。
sql注入测试代码
weixin_30278311的博客
06-13 306
先上测试代码: <?php error_reporting(0); $show_name=$_GET['name']; var_dump($show_name); if(!get_magic_quotes_gpc()){ $show_name = addslashes($show_name); } if(!empty($show_name)){ ...
SQL注入测试
Trouvailless的博客
05-07 7030
0x01 等保测评项 GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括: a)应遵循最小安装的原则,仅安装需要的组件和应用程序; b)应关闭不需要的系统服务、默认共享和高危端口; c)应通过设定终端接入方或网络地址范围对通过网络进行管理的管理终端进行限制; d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
sql注入攻击代码分析
06-01
SQL注入攻击是一种网络攻击攻击者通过在应用程序的输入框中插入恶意的SQL语句,来获取或篡改数据库中的数据。以下是一些SQL注入攻击代码的分析: 1. 基本的SQL注入攻击代码 ```sql SELECT * FROM users WHERE username = 'admin' AND password = 'password123'; ``` 攻击者可以在password字段中输入 `' OR '1'='1` 来绕过身份验证,使查询语句变为: ```sql SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1'; ``` 这将返回所有用户的记录,而不仅仅是管理员的记录。 2. 使用 UNION 操作符的SQL注入攻击代码 ```sql SELECT name, email FROM users WHERE id = '$id'; ``` 攻击者可以在 $id 变量中输入 `' UNION SELECT credit_card_number, NULL FROM credit_cards;--`,使查询语句变为: ```sql SELECT name, email FROM users WHERE id = '' UNION SELECT credit_card_number, NULL FROM credit_cards;--'; ``` 这将返回用户的姓名和电子邮件地址,以及从另一个表中获取的信用卡号码。 3. 使用注释符号的SQL注入攻击代码 ```sql SELECT * FROM users WHERE username = '$username' AND password = '$password'; ``` 攻击者可以在 $username 变量中输入 `' OR 1=1;--`,使查询语句变为: ```sql SELECT * FROM users WHERE username = '' OR 1=1;--' AND password = '$password'; ``` 这将返回所有用户的记录,而不仅仅是具有特定用户名和密码的记录。 上述代码示例只是SQL注入攻击的一部分,攻击者可能会使用更复杂的技术和代码来实现更多的攻击。为了保护应用程序免受SQL注入攻击,开发人员应该在编写应用程序时遵循最佳实践,如使用参数化查询和输入验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值