整站如何防止SQL注入方式入侵

最新推荐文章于 2021-05-25 15:42:11 发布
最新推荐文章于 2021-05-25 15:42:11 发布
阅读量111 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/jonycaimarcia/archive/2011/04/01/2002804.html
版权

防止SQL注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一下如何从整个系统防止注入。
做到以下三步,相信你的程序就会比较安全了,而且对整个网站的维护也将变的简单。
一、数据验证类
 
parameterCheck.cs 
  
public class parameterCheck{
    public static bool isEmail(string emailString){
        return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['\\w_-]+(\\.
['\\w_-]+)*@['\\w_-]+(\\.['\\w_-]+)*\\.[a-zA-Z]{2,4}");
    }
    public static bool isInt(string intString){
        return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(\\d{5}-\\d{4})|(\\d{5})___FCKpd___0quot;);
    }
    public static bool isUSZip(string zipString){
        return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]
+___FCKpd___0quot;);
    }
}

二、Web.config
在你的Web.config文件中,在下面增加一个标签,如下:
 
<appSettings>
    <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-
USzip" />
</appSettings>

其中key是后面的值为“OrderId-int32”等,其中“-”前面表示参数的名称比如:OrderId,后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段:
 
protected void Application_BeginRequest(Object sender, EventArgs e){
    String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings
["safeParameters"].ToString().Split(',');
    for(int i= 0 ;i < safeParameters.Length; i++){
        String parameterName = safeParameters[i].Split('-')[0];
        String parameterType = safeParameters[i].Split('-')[1];
        isValidParameter(parameterName, parameterType);
    }

public void isValidParameter(string parameterName, string parameterType){
    string parameterValue = Request.QueryString[parameterName];
    if(parameterValue == null) return;

    if(parameterType.Equals("int32")){
        if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("double")){
        if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("USzip")){
        if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("email")){
        if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
    }
}

以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。  

转载于:https://www.cnblogs.com/jonycaimarcia/archive/2011/04/01/2002804.html

weixin_34268843
关注
SQL注入专题
巅峰测试
08-03 1813
     SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
整站防止SQL注入入侵 -
03-14
整站防止SQL注入入侵 - 整站防止SQL注入入侵 -
防止sql注入
weixin_41279532的博客
05-08 253
那么mysql该如何防止sql注入?我们通过以下三种方法进行防治sql注入 1.开启php的魔术模式,,magic_quotes_gpc = on即可,当一些特殊字符出现在网站前端的时候,就会自动进行转化,转化成一些其他符号导致sql语句无法执行。 2.网站代码里写入过滤sql特殊字符的代码,对一些特殊字符进行转化,比如单引号,逗号,*,(括号)AND 1=1 、反斜杠,select union等...
解决Sql注入的类(C#版,Java版可效仿)
joerong666
07-24 170
全站防SQL注入类的修改版本 关键词: asp.net    C#    SQL注入类                                             相信Sql注入时下已不再是什么新名词了,今天也正好撞上这样的bug,网上这方面的理论很多,但真正有提供一个明确完整的解决方案的,实在是少得可怜(不知是不是我的手气太差了 ^^).废话就不多说了,下面本人就此次整理出来的Sq...
从对网站进行SQL注入到下载网站整站源码的全过程.zip
12-11
9. **安全防护**:对于防止SQL注入,关键在于应用安全编程原则,包括但不限于:使用预编译的SQL语句、限制数据库用户的最小权限、对用户输入进行过滤和转义、启用Web应用防火墙等。 10. **法律和道德规范**:重要的...
SQL通用防注入系统3.0(asp)版
03-26
 Neeao_SqlIn.Asp 防SQl注入主文件,需要注意以下几点:    Neeao_sql_admin.asp 后台管理文件  注意:请用记事本打开Neeao_sql_admin.asp修改里面的管理密码!    使用方法很简单,,  只要在需要防注入的...
SQL通用防注入系统3.1β版
05-14
Neeao_SqlIn.Asp 防SQl注入主文件,需要注意以下几点: Neeao_sql_admin.asp 后台管理文件 关于以前版本的升级,直接覆盖文件和数据库即可使用! 注意:请用记事本打开Neeao_sql_admin.asp修改里面的管理密码! ...
sql注入防范sql注入式攻击js版本
暗淡亮点的博客
10-28 1209
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。 比如: 如果你的查询语句是select * from admin where username=''"&user&"'' and password=''"&pwd&"''" 那么,如果我的用户名是:1'' or ''1''=
在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)
10-27
可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
T-SQL篇如何防止SQL注入的解决方法
那一抹、璀璨
12-07 388
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令,对于这种行为,我们应该如何制止呢?本文将介绍一种方法,希望可以帮助有需要的朋友 - 1.什么是SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构
Web中防SQL注入
xiaodongry8的专栏
05-25 172
在Global的文件下: Application_BeginRequest中添加如下代码: foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.Request.Form[i].ToString()//处理里面的值 } //遍历Get参数。 ...
整站如何防止SQL注入攻击
冲浪小子专栏
06-04 379
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入。      只要做到以下三点,网站就会比较安全了而且维护也简单。      一、数据验证类      parameterCheck.cs  public class parameterCheck{      public static bool isE
防止sql注入的方法
qq_36031634的博客
09-06 3084
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
(转).Net程序如何防止注入(整站通用)
jackyrongvip的专栏
06-07 775
作者:淘特网 出处:淘特网注:转载请注明出处防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(st
sql注入
springsunss的博客
07-10 685
sql注入问题:先使用PHP自带的函数bin2hex函数将输入待查询字符串处理成16进制字符串,然后再SQL执行过程中使用数据库本身的unhex函数将该16进制字符串反转为原先的正常字符串。
sql语句注入漏洞及预防
hscvip的博客
01-22 1167
sql语句注入漏洞及预防 1,一般书写sql查询语句的时候可以这么写: Select  count(1) from user where username=’zs’ andpwd=’123’ 比如说我要进行登录操作:正常情况输入:zs  123就可以登录,但是当我在用户名中输入:‘or 1=1# 的时候,密码输什么都可以,因为此时的sql语句就成为下面这样: Select  c
.NET防止SQL注入攻击的正则表达式方法
文中提到的`HtmlEliminate`函数主要针对HTML编码进行清理,以避免XSS(跨站脚本)攻击,但这种方法并不能直接防止SQL注入防止SQL注入的最佳实践包括: 1. **参数化查询**:使用参数化查询或存储过程,可以确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值