php mvc 防注入,AOP实践--ASP.NET MVC 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁...

最新推荐文章于 2023-05-23 18:10:41 发布
最新推荐文章于 2023-05-23 18:10:41 发布
阅读量118 收藏
点赞数
文章标签: php mvc 防注入

在开发程序的过程中,稍微不注意就会隐含有sql注入的危险。今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁。不用每下地方对参数的值都进行检查,看是用户输入的内容是否有危险的sql。如果没个地方都要加有几个缺点:

1、工作量大

2、容易遗漏

3、不容易维护

下面我通过写一个过滤防止sql的特性类,对Action执行前对Action的参数进行处理,如果有其值有sql语句,就会这些非法字符替换为空字符串。

一、sql注入的例子:

07e57ed99685e7934fd52151f0c7473f.gif

上面的输入有两个输入框,用户可以输入任何的值,包括有sql注入的值。

后台代码:

AdminController.cs

public class AdminController : Controller

{

public ActionResult Index(string name = "", string loginName = "", int page = 1)

{

ViewBag.Name = name;

ViewBag.LoginName = loginName;

var r = DAdmin.GetList(name, loginName, page, 2);

return View(r);

}

}

}

DAdmin.cs:

public class DAdmin

{

public static PageDataView GetList(string name, string loginName, int page,int pageSize=10)

{

PageCriteria criteria = new PageCriteria();

criteria.Condition = "1=1";

if (!string.IsNullOrEmpty(name))

criteria.Condition += string.Format(" and Name like '%{0}%'", name);

if (!string.IsNullOrEmpty(loginName))

criteria.Condition += string.Format(" and LoginName like '%{0}%'", loginName);

criteria.CurrentPage = page;

criteria.Fields = "*";

criteria.PageSize = pageSize;

criteria.TableName = "Sys_Admin a";

criteria.PrimaryKey = "UID";

var r = Common.GetPageData(criteria);

return r;

}

}

上面对用户输入的name和loginName两个参数没有判断是否有sql注入的非法字符,就直接拼接到sql语句,到数据库中执行,这样是非常危险的。

1、比如用户在name输入这样的内容:

%'--%

这样拼接出来的sql语句就成了

SELECT * FROM Sys_Admin WHERE Name like '%'--%'

这样“--”是sql的注释标记后面再拼接的sql语句都当成注释了,这样有效的就成了这样的sql语句:

SELECT * FROM Sys_Admin WHERE Name like '%'

这表示显示全部的记录。如果是登录的sql就会跳过用户名、密码的验证。

2、如果用户name输入内容带有insert或delete或者drop,比如:

namer人值为:%';DELETE FROM Sys_Admin--%

拼接成的sql成了:

SELECT * FROM Sys_Admin WHERE Name like '%';DELETE FROM Sys_Admin--%'

这样一执行就把Sys_Admin表的记录全部删除了。

总结:上面可以看到这种sql注入是多么的危险。

二、解决MVC sql注入方案

1、定义一个防止sql注入的字符串辅助类

public class StringHelper

{

public static string FilterSql(string s)

{

if (string.IsNullOrEmpty(s)) return string.Empty;

s = s.Trim().ToLower();

s = ClearScript(s);

s = s.Replace("=", "");

s = s.Replace("'", "");

s = s.Replace(";", "");

s = s.Replace(" or ", "");

s = s.Replace("select", "");

s = s.Replace("update", "");

s = s.Replace("insert", "");

s = s.Replace("delete", "");

s = s.Replace("declare", "");

s = s.Replace("exec", "");

s = s.Replace("drop", "");

s = s.Replace("create", "");

s = s.Replace("%", "");

s = s.Replace("--", "");

return s;

}

}

这个类对上面sql相关的字符串都替换掉。

2、定义一个用来检查并处理Action参数的特性类

public class AntiSqlInjectAttribute:FilterAttribute,IActionFilter

{

public void OnActionExecuted(ActionExecutedContext filterContext)

{

}

public void OnActionExecuting(ActionExecutingContext filterContext)

{

var actionParameters = filterContext.ActionDescriptor.GetParameters();

foreach (var p in actionParameters)

{

if (p.ParameterType == typeof(string))

{

if (filterContext.ActionParameters[p.ParameterName] != null)

{

filterContext.ActionParameters[p.ParameterName] = StringHelper.FilterSql(filterContext.ActionParameters[p.ParameterName].ToString());

}

}

}

}

}

说明:这个特性类是继承了类FilterAttribute和实现了接口IActionFilter,这里在方法OnActionExecuting处理Action的参数,OnActionExecuting是在Action执行之前运行的方法,而OnActionExecuted是在Action执行之后运行的方法。

p.ParameterType == typeof(string)

因为sql注入只有参数类型为字符串的时候才有可能所以这里只对Action参数为字符串的参数进行处理。

filterContext.ActionParameters[p.ParameterName] =

StringHelper.FilterSql(filterContext.ActionParameters[p.ParameterName].ToString());

是用过滤之后的安全的Action参数值替换原来的原始值。

3、防止sql注入特性类的在MVC的Controller中的使用

public class AdminController : Controller

{

[AntiSqlInject]

public ActionResult Index(string name = "", string loginName = "", int page = 1)

{

ViewBag.Name = name;

ViewBag.LoginName = loginName;

var r = DAdmin.GetList(name, loginName, page, 2);

return View(r);

}

}

需要对Action的参数进行sql检查,只用在前面加上,上面定义的特性类AntiSqlInject。这个特性类可以用在任何的需要防止sql注入的Action上,根本不用对手动的去过滤程序中获取到的所有参数,安全、方便简洁。

weixin_39721009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MVC 如何防止XSS、SQL注入攻击
Java_c#
04-19 3239
在Web项目中,通常需要处理XSS,SQL注入攻击。(过滤特殊字符) 解决这个问题有两个思路: 1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 2、在显示的时候对非法字符进行转义 代码: /// <summary> /// 对转义字符进行处理 /// 左尖括号: < &lt; /// 右尖括...
asp.net MVC 防止Sql 漏洞攻击
tzweilai的专栏
07-03 1159
一.创建公共类 public class AntiSqlInject { /// <summary> /// 判断字符串中是否有SQL攻击代码 /// true-安全;false-有注入攻击现有 /// </summary> /// <param name="in...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6472
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止SQL注入
m0_49521873的博客
05-23 2328
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
怎么防止SQL注入
。。。。
03-21 6983
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
ORM框架 整合asp.net core mvc和Dapper、Autofac实现依赖注入AOP,同时结合Redis实现 _缓
最新发布
07-11
5. 在ASP.NET Core MVC的控制器或服务中,通过依赖注入获取到Dapper的实例,执行SQL查询,并利用缓存机制提高数据访问效率。 通过以上集成,我们可以构建一个高效、灵活且易于维护的ASP.NET Core MVC应用,同时享受...
ASP.NET编程知识】基于ASP.NET MVC的ABP框架入门学习教程.docx
05-21
ASP.NET MVC ABP框架入门学习教程 一、为什么使用ABP框架 在软件开发过程中,我们遇到了许多重复机械的工作,例如数据持久层实现、日志、ASP.NET MVC、IOC以及自动映射等。这些组件的组合使软件系统的复杂度急剧...
ASP.NET编程知识】ASP.NET MVC小结之基础篇(二).docx
05-17
9. ASP.NET MVC3 中的 FilterASP.NET MVC3 中提供了全局注册 Filter 功能,并且提供了对 ChildAction 的 OutputCache 支持, Filter 可以对一系列操作进行横切干扰, Filter 可以在 Controller 和 Action 之间进行...
ASP.NET编程知识】ASP.NET MVC5验证系列之Fluent Validation.docx
05-16
ASP.NET MVC5验证系列之Fluent Validation是ASP.NET编程知识的一部分,主要介绍了Fluent Validation的使用方法和优点。Fluent Validation是一个开源的.NET类库,使用Fluent接口和lambda表达式,为实体做验证。它的...
ASP.NET编程知识】ASP.NET MVC下自定义错误页和展示错误页的方式.docx
05-16
ASP.NET MVC 是一个用于构建动态网站的开源框架,它提供了模型-视图-控制器(MVC)模式,有助于开发者分离关注点,实现更清晰的代码结构。在ASP.NET MVC 应用程序中,自定义错误页和错误展示是提高用户体验和系统...
C# MVC 过滤防止SQL注入
09-15
C# MVC 过滤防止SQL注入
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
【两种DbParameter的使用方式】防止SQL注入 C# MVC
weixin_43041350的博客
10-08 1950
1.第一种方法就是在使用conn的情况下,使用动态参数dapper来代替SQL拼接。2.第二种方法就是使用DbParameter(在有database的情况下)2.2参数较多,则用一个List。2.1 需要的参数不多的时候。
MVC中利用ActionFilterAttribute过滤关键字
lxrj2008的专栏
07-13 805
在开发过程中,有时候会对用户输入进行过滤,以便保证平台的安全性。屏蔽的方法有很多种,但是今天我说的这种主要是利用MVC中的ActionFilterAttribute属性来实现。由于MVC天然支持AOP,所以我们这种过滤方式正好利用了MVC的这种特性。下面请看步骤:首先,当用户输入自己的名称的时候,带有类似&lt;BR&gt;的内容的时候,由于MVC默认是需要验证内容的,所以,会抛出一张黄页错误,提...
Asp.net防止注入过滤
weixin_44149389的博客
04-10 262
Asp.net防止注入过滤. string jk1986_sql = "exec↓select↓drop↓alter↓exists↓union↓and↓or↓xor↓order↓mid↓asc↓execute↓xp_cmdshell↓insert↓update↓delete↓join↓declare↓char↓sp_oacreate↓wscript.shell↓xp_reg...
springmvcsql注入 最简单最直接的方式
weixin_34419321的博客
11-11 1825
为什么80%的码农都做不了架构师?>>> ...
filter中获取action参数
weixin_33859504的博客
11-01 429
public voidOnActionExecuting(ActionExecutingContextfilterContext) 中比较方便 有filterContext.ActionParameters,key:value,直接可以获得 但是在其他的 public void OnActionExecuted(ActionExecutedContext filterContext) ...
ASP.NET MVC Filter过滤机制(过滤器、拦截器)
热门推荐
knqiufan的博客
09-05 2万+
参考文章:1、https://www.cnblogs.com/webapi/p/5669057.html                   2、https://shiyousan.com/post/635835285087587126 在MVC中有一个过滤机制,可以编写为过滤器或拦截器,用于对在某个Action执行前后再执行的动作。 过滤器继承自ActionFilterAttribute类...
ASP.NET MVC5实战指南:从入门到精通
"《ASP.NET MVC5 编程实战》是一本专注于深度解析ASP.NET MVC 5架构和特性的实用教程。该书由Web开发专家Dino Esposito编撰,旨在帮助读者理解并掌握MVC(模型-视图-控制器)设计模式,这是ASP.NET框架中的核心组件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值