asp.net简单实现利用HttpModule实现防sql注入

于 2017-11-15 20:49:00 发布
阅读量136 收藏
点赞数
文章标签: c# javascript ViewUI
原文链接:https://yq.aliyun.com/articles/380912
版权

关于sql注入,已经被很多人讨论过了。这篇没有新意功能也不够通用,nnd,不想引起口水,就是觉得简单而且思路有参考性才贴出来。
1、新建一个类,实现IHttpModule接口

代码

 在实现接口的Init方法时,我们选择了AcquireRequestState事件,为什么不是Begin_Request事件呢?这是因为我们在处理的时候可能用到session,而Begin_Request事件执行的时候还没有加载session状态(关于HttpModule可以参考这一篇)。
2、对网站提交的数据进行处理
(1)、GET方式

代码

 (2)、POST方式

代码

 完整代码:

代码

 3、在web项目中应用
只要在web.config的httpModules节点下面添加如下配置即可。

     < httpModules >
       < add  name ="SqlHttpModule"  type ="DotNet.Common.WebForm.SqlHttpModule, DotNet.Common.WebForm" ></ add >
     </ httpModules >

 需要说明的是,这个防止sql注入的方法在特定的小项目中还是很简洁高效的,但是不通用,通常我们都是选择参数化(利用orm或者ado.net的参数化)方式防止sql注入。

附:asp.net在网页头部引入js脚本的简单方法
asp.net开发少不了JavaScript的辅助。在通常项目中,js文件都组织在一个公共目录如js文件夹下。随着项目的深入,你会发现js脚本文件越来越多,公共的脚步库越来越庞大。实际使用的时候,我们通常都是在页面中通过 <script src="..." type="text/javascript" >形式引入js文件,而且引入的越来越多。下面我们就来简单讨论在每个页面引入公共脚本库的统一方式,而不用每个页面都是很多<script src="..." type="text/javascript" >的形式。
和我们以前的做法一样,定义一个页面基类叫BasePage,事件和方法如下:

ContractedBlock.gif Code

这样就简单地解决了引入公共js的问题。同样的原理,你也可以引入其他类型的文件,如css等。






本文转自JeffWong博客园博客,原文链接:http://www.cnblogs.com/jeffwongishandsome/archive/2009/12/23/1512551.html,如需转载请自行联系原作者

weixin_34217711
关注
asp.net利用HttpModule实现sql注入
10-29
关于sql注入,已经被很多人讨论过了。这篇没有新意功能也不够通用,nnd,不想引起口水,就是觉得简单而且思路有参考性才贴出来。
使用HttpModule实现sql注入
whaxrl的专栏
02-12 1055
使用HttpModule实现sql注入的原因   asp.net处理Http请求时,程序得到一个请求的时候,第一个会经过Http运行时,即编译过程,在这里我们的请求会被转化为机器懂的语言。下一个,我们的请求经过不同的HttpModule,即Http模块。事实上,我们的请求到达模块时系统没有对这个请求做任何的处理,也就是说此时对于请求来讲,模块是一个请求的“必经之路”。   模块可以在这个
ASP.NET止注入攻击
11-21 156
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发ASP.NET程序时使用请求验证止注入攻击. 使用ASP.NET验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式止注入攻击. 止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供...
使用 HttpModule实现sql注入
oec2003的学习专栏
11-23 1939
    sql注入是被谈的很多的一个话题,有很多的方法能够实现sql的注入,在这里就简单说一下如果使用HttpModule实现sql的注入。    在项目中添加一个类让其实现IHttpModule接口。IHttpModule接口有两个方法 Init 和 Dispose。然后在Init方法中来订阅 AcquireRequestState事件。    public voi
ASP.NETHttpModule实现SQL注入护的详解
ASP.NET利用HttpModule实现SQL注入是一种常见的Web开发策略,旨在保护应用程序免受恶意SQL查询的攻击。本文将深入讲解如何通过自定义HttpModule来增强安全性,并关注于处理GET和POST请求中的参数过滤。 首先,...
ASP.NET编程知识】ASP.NETSQL注入的方法示例.docx
最新发布
05-20
ASP.NET 止 SQL 注入攻击的方法有很多,这些方法包括参数法注入、传统的笨一点的办法、HttpModule 实现sql注入、SqlFilter 止 SQL 注入、validation 止 SQL 注入等。只有通过使用这些方法,才能有效地止...
ASP.NET HttpModuleSQL注入实战
"asp.net利用HttpModule实现sql注入" ASP.NET是一个强大的Web应用程序开发框架,由微软公司提供,用于构建动态、数据驱动的网站。在ASP.NET中,HttpModule是IIS(Internet Information Services)处理请求生命...
asp.net SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:    ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。    ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:   System
ASP.NETSQL注入的方法示例
10-20
主要介绍了ASP.NETSQL注入的方法,结合具体实例形式分析了asp.net基于字符串过滤实现SQL注入的相关操作技巧,需要的朋友可以参考下
asp.net(C#)sql注入组件的实现代码
10-29
经常要写一些.net的程序,对于数据库的注入要求要比较高。这时我从网上搜了一些代码。查看了一下主要是通过HTTPModel来进行对客户端转过来的数据进行处理。
.net sql 注入 httpmodule
loveheye的专栏
10-18 1353
1 新建一个类,实现IHttpModule接口 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; using System.Text; namespace DotNet.Common.WebForm { /// /// 简单sql注入
asp.netSql注入的方法- 转
freedom
10-11 241
转自[url]http://wenku.baidu.com/view/e9a489240722192e4536f6b2.html[/url] 原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。 ...
利用HttpModule实现sql注入
weixin_33800593的博客
12-01 93
sql注入是被谈的很多的一个话题,有很多的方法能够实现sql的注入,在这里就简单说一下如果使用HttpModule实现sql的注入。 在项目中添加一个类让其实现IHttpModule接口。IHttpModule接口有两个方法 Init 和 Dispose。然后在Init方法中来订阅 AcquireRequestState事件。 publicvoid...
WebApi参数传递总结
weixin_30527143的博客
08-11 734
WebApi参数传递总结 在WebAPI中,请求主体(HttpContent)只能被读取一次,不被缓存,只能向前读取的流。 举例子说明: 1. 请求地址:/?id=123&name=bob 服务端方法: void Action(int id, string name) // 所有参数都是简单类型,因而都将来自url 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值