ASP.NET 2.0防止SQL注入攻击

最新推荐文章于 2013-07-24 00:21:21 发布
最新推荐文章于 2013-07-24 00:21:21 发布
阅读量845 收藏
点赞数 1
分类专栏: ASP.NET 文章标签: asp.net sql application 数据库 object 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomin98/article/details/3320315
版权

 1.屏蔽所有错误页,使用统一的出错页面。

攻击者开始都根据输入非法的SQL语句,根据页面返回的错误信息来判断后台数据库类型,系统表名等等。因此,我们应该屏蔽掉所有异常的信息。在ASP.NET2.0中,我们可以添加Global.asax文件。在  void Application_Error(object sender, EventArgs e) 
方法中添加一下代码:

Server.ClearError();

然而这样会对我们开发造成一定的困扰。因为屏蔽掉所有的异常信息,程序员要定位错误位置将非常困难。因此我们的想法是:在程序开始调试的时候,页面将显示默认的错误信息,在网站发布的时候,页面降屏蔽所有出错信息。我们可以在Web.config中增加一个配置节。 

<appSettings>
    <add key="ReleaseVersion" value=""/>
</appSettings>
把void Application_Error(object sender, EventArgs e) 
改成

if (ConfigurationManager.AppSettings["ReleaseVersion"] == "True")

{
     Server.ClearError();
}

这样只要在发布之前把value设置为"True"就可以了。

2.在后台检查所有SQL的参数。

   2.1 '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare 不能包含以上关键字。

   2.2 对于长度进行判断,不能超过一定的长度。

   2.3 使用SqlCommand调用存储过程。参数使用SqlParameter,它会自动把value中的特殊字符转义。

3.数据库后台敏感数据必须加密,不能存明码。比如账号密码信息。

4.对于数据库连接使用的用户不能权限太大。

如果你的sql数据库连接使用的是sa权限的用户,那么使用sql注入就有可能获取操作系统的administrators组的权限,也就是服务器的全部管理权限。 因为有所有系统的存储过程可是直接执行很多系统操作,比如执行shell脚本,读取注册表等等。

master.dbo.xp_regread 读注册表

xp_cmdshell 扩展存储过程将命令字符串作为操作系统命令 shell 执行,并以文本行的形式返回所有输出。


 

xiaomin98
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET(C Sharp)防SQL注入脚本2.0
12-30
ASP.NET(C Sharp)防SQL注入脚本2.0 防止SQL注入的C#类文件。
ASP.NET2.0 防止SQL注入的解决方案
马辉的专栏
12-14 1080
原文http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/代码在http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/default.aspx?loc=&fig=true#fig1以下是翻译的部分片断:
.NETSQL注入方法
weixin_34194551的博客
10-07 69
.NETSQL注入方法     查看文章     .NETSQL注入方法 2007年04月04日 11:16 .NETSQL注入方法 SQL语句 利用SqlCommand传参数的方法:string strSQL="SELECT * FROM [user] WHERE user_id=@id";SqlCommand...
ASP.NET 2.0通用防注入
01-25
ASP.NET 2.0通用防注入插件源代码<br>利用了httpModules对字符进行检测,仅仅对少数几个关键SQL命令进行了检测。<br>跳过了multipart/form-data类型的数据。<br>即插即用型 :)放置如bin目录。修改web.config即可。<br>将SQLINC.DLL放入bin目录。在web.config中加入<br><br><httpModules><br> <add name="Tanson.WebSite.FlowStatistics.SqlINC" type="Tanson.WebSite.FlowStatistics.SqlINC"/><br></httpModules>
ASP.NET网站防止SQL注入攻击
iamsyu的专栏
12-29 937
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
.NET里面怎样防止SQL注入
harbour的专栏
07-24 1583
.NETSQL注入方法 SQL语句 利用SqlCommand传参数的方法: string strSQL="SELECT * FROM [user] WHERE user_id=@id"; SqlCommand cmd = new SqlCommand(); cmd.CommandText = strSQL; cmd.Parameters.Add("@id",SqlDbType.V
ASP.NET 2.0网络编程从入门到精通》第八章 pdf
09-20
8.4.1防止恶意用户SQL注入攻击 8.4.2防止恶意用户客户端攻击 8.4.3设计用户登录图片验证码 8.4.4对用户输入信息进行编码 8.4.5加密用户登录信息 8.5实现网络用户管理系统 8.5.1接口设计 8.5.2数据访问层设计 8.5.3...
.NET 2.0 网站系统安全开发手册
09-02
手册基于.NET 2.0 的网站系统开发环境进行编写,共分为十三大项,30个小项,介绍了输入验证、输出编码、SQL注入、跨站脚本攻击、跨站请求伪造、越权操作、IO操作安全、缓存泄漏、系统加密、信息批漏、日志和监测、...
asp.net知识库
06-18
asp.net2.0:扩展ImageButton控件定制自己需要的功能 ASP.NET 2.0 正式版中无刷新页面的开发(示例代码的补充) ASP.NET2.0中themes、Skins轻松实现网站换肤! ASP.NET 2.0 中的代码隐藏和编译 ASP.NET 2.0 Language ...
ASP.NET4高级程序设计第4版 带目录PDF 分卷压缩包 part1
08-19
1.2.2 ASP.NET2.0 1.2.3 ASP.NET3.5 1.2.4 ASP.NET4 1.2.5 Silverlight 1.3 总结 第2章 Visual Studio 2.1 Visual Studio 2.1.1 网站和Web项目 2.1.2 创建无项目文件的网站 2.1.3 设计网页 2.2...
Page_Load(object sender, EventArgs e)的执行顺序
热门推荐
xiaomin98的专栏
01-31 1万+
问题:1.创建一个用户控件,包含一个下拉框。用于选择月份。在该用户控件的Page_Load响应函数中写以下代码:    protected void Page_Load(object sender, EventArgs e)    ...{        if (!IsPostBack)        ...{            for (int i = 1; i  12; i++
ASP.NET使用Global.asax进行全局错误处理
xiaomin98的专栏
02-18 3520
在开发过程中。有时需要让程序异常直接抛出,方便调试和定位错误来源。但是在项目实施过程中,出错页面就不能显示出来了。这是我们需要一个更友好的出错提示页面提醒用户操作出错。通常我们在单个页面中可以使用try catch捕获异常,然后跳转到一个统一的出错页面中。但是,如果对每一个页面都写这样相类似的代码,工作量之大可以想象。还好我们可以使用Global.asax进行全局的错误处理。在VS2005
Web用户控件(WebUserControl)嵌套问题-别忘了注册子用户控件
xiaomin98的专栏
01-31 2965
问题:1.创建了一个Web用户控件,YearMonth。 该控件包含两个下拉框,用于选择年月。该控件有一个方法GetValue(),返回年月的字符串比如"200801"。2.创建第二个Web用户控件,YearMonthSpan。该控件包含两个YearMonth控件。用于时间段的查询。该控件有两个属性StartYearMonth,EndYearMonth,返回YearMonth类
ASP.NET未知错误信息-WebDev.WebServer.exe遇到问题需要关闭
xiaomin98的专栏
02-01 2123
 碰到这个问题一般是由于死循环引起的。比如递归函数调用没有跳转出来。
什么是ISAPI
xiaomin98的专栏
02-19 1982
ISAPI(Internet Server API )是什么?可以对应windows32 API来说明。win32 API是一系列用于开发windows应用程序的dll,包含了一组API函数,而ISAPI正是用于开发Internet 应用程序(动态网页)的API.最早的网页都是静态的HTML,为了提高Html的交互性,出现了CGI,CGI一般用C/C++,Perl语言开发。难度比较大。ISAP
服务器控件的Load事件
xiaomin98的专栏
02-14 1210
ASP.NET中,新建一个Web窗体时,会自动添加以下代码    protected void Page_Load(object sender, EventArgs e)    ...{    }我们大致知道,在这个函数中添加一些代码,用于在页面加载时(Load事件发生时)的处理。在服务器的生命周期中,Load事件是在控件的具体事件(比如Button的Click事件之前发生的)。
ASP.NET 页面之间传递值。
xiaomin98的专栏
02-24 907
看到网上面试题。很多答案都是误人子弟。ASP.NET跨页传递值的问题,其实是一个状态管理的问题。原因就是因为HTTP是无状态连接的协议。因此在WEB开发中跨页传递与WINDOWS有本质的区别。首先我们要确定,页面之间传递值是只在同一客户端中不同的页面传递。我们假设有页面A,B,A要传递一个值X给B.关键问题是X保存在哪里的问题。分析一下无非保存在四个地方:1.服务器的内存中 2
MS AJAX Extensions 12030异常
xiaomin98的专栏
12-25 900
问题描述:页面中使用了UpdatePanel。点击页面中某一个按钮后,浏览器抛出异常。PageRequestManagerServerErrorException 。。。return code 12030。问题解决:在网上查找,有人说是项目名称取了中文名,改成英文名就可以解决。可我的项目名是英文的。但是页面是中文,改成英文名后,问题解决。相关链接:微软网站对该异常的说明:h
asp.net 2.0网络数据库开发光盘下载
最新发布
07-11
ASP.NET 2.0网络数据库开发光盘可以通过互联网进行下载。根据ASP.NET 2.0网络数据库开发光盘的需求,我们可以通过以下步骤进行下载。 首先,我们需要确保拥有一个稳定的互联网连接。为了获得更好的下载速度和稳定性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值