使用 HttpModule实现sql防注入

最新推荐文章于 2024-05-14 09:57:15 发布
最新推荐文章于 2024-05-14 09:57:15 发布
阅读量573 收藏 1
点赞数
分类专栏: ASP.NET 文章标签: httpmodule sql session null url 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjj51296646/article/details/3360967
版权

sql注入是被谈的很多的一个话题,有很多的方法能够实现sql的防注入,在这里就简单说一下如果使用HttpModule来实现sql的防注入。

    在项目中添加一个类让其实现IHttpModule接口。IHttpModule接口有两个方法 Init 和 Dispose。然后在Init方法中来订阅

    AcquireRequestState事件。

 

    为什么是AcquireRequestState 事件而不是Begin_Request呢 ,因为在Begin_Request执行的时候还没有加载session状态,而在处理的时侯

可能会用到session。

    在AcquireRequestState 事件中我们就要进行相应的处理了,思路如下,一般网站提交数据只有两个地方,表单和url,所有就在该事件中将从这两处

提交的数据截取,判断是否有一些危险字符,然后做相应处理。代码如下

  1.    1. private void context_AcquireRequestState(object sender, EventArgs e)
  2.    2.     {
  3.    3.         HttpContext context = ((HttpApplication)sender).Context;
  4.    4.
  5.    5.         try
  6.    6.         {
  7.    7.             string getkeys = string.Empty;
  8.    8.             string sqlErrorPage = "~/Error.aspx";//转向的错误提示页面 
  9.    9.             string keyvalue = string.Empty;
  10.   10.
  11.   11.             string requestUrl = context.Request.Path.ToString();
  12.   12.             //url提交数据
  13.   13.             if (context.Request.QueryString != null)
  14.   14.             {
  15.   15.                 for (int i = 0; i < context.Request.QueryString.Count; i++)
  16.   16.                 {
  17.   17.                     getkeys = context.Request.QueryString.Keys[i];
  18.   18.                     keyvalue = context.Server.UrlDecode(context.Request.QueryString[getkeys]);
  19.   19.
  20.   20.                     if (!ProcessSqlStr(keyvalue))
  21.   21.                     {
  22.   22.                         context.Response.Redirect(sqlErrorPage);
  23.   23.                         context.Response.End();
  24.   24.                         break;
  25.   25.                     }
  26.   26.                 }
  27.   27.             }
  28.   28.             //表单提交数据
  29.   29.             if (context.Request.Form != null)
  30.   30.             {
  31.   31.                 for (int i = 0; i < context.Request.Form.Count; i++)
  32.   32.                 {
  33.   33.                     getkeys = context.Request.Form.Keys[i];
  34.   34.                     keyvalue = context.Server.HtmlDecode(context.Request.Form[i]);//[getkeys];
  35.   35.                     if (getkeys == "__VIEWSTATE"continue;
  36.   36.                     if (!ProcessSqlStr(keyvalue))
  37.   37.                     {
  38.   38.                         context.Response.Redirect(sqlErrorPage);
  39.   39.                         context.Response.End();
  40.   40.                         break;
  41.   41.                     }
  42.   42.                 }
  43.   43.             }
  44.   44.         }
  45.   45.         catch (Exception ex)
  46.   46.         {
  47.   47.         }
  48.   48.     }
上面的代码只是做了简单的处理,当然也可以在事件中将输入非法关键字的用户ip ,操作页面的url,时间等信息记录在数据库中或是记录在日志中。

而且还用到了一个叫ProcessSqlStr的方法,这个方法就是用来处理字符串的,判断是否合法,如下

  1.    1.  private bool ProcessSqlStr(string str)
  2.    2.     {
  3.    3.         bool returnValue = true;
  4.    4.         try
  5.    5.         {
  6.    6.             if (str.Trim() != "")
  7.    7.             {
  8.    8.                 //string sqlStr = ConfigurationManager.AppSettings["FilterSql"].Trim();
  9.    9.                 string sqlStr = "declare |exec|varchar|cursor|begin|open |drop |creat |select |truncate";
  10.   10.
  11.   11.                 string[] sqlStrs = sqlStr.Split('|');
  12.   12.                 foreach (string ss in sqlStrs)
  13.   13.                 {
  14.   14.                     if (str.ToLower().IndexOf(ss) >= 0)
  15.   15.                     {
  16.   16.                         m_sqlstr = ss;
  17.   17.                         returnValue = false;
  18.   18.                         break;
  19.   19.                     }
  20.   20.                 }
  21.   21.             }
  22.   22.         }
  23.   23.         catch
  24.   24.         {
  25.   25.             returnValue = false;
  26.   26.         }
  27.   27.         return returnValue;
  28.   28.     }
  29. 到这儿类就写好了,再在web.config中做相应的配置就大功告成
    1. #   <httpModules>
    2. #       <add type="HttpModule" name="HttpModule"/>
    3. #   </httpModules>


        


xjj51296646
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net利用HttpModule实现sql注入
10-29
关于sql注入,已经被很多人讨论过了。这篇没有新意功能也不够通用,nnd,不想引起口水,就是觉得简单而且思路有参考性才贴出来。
使用HttpModule实现sql注入
whaxrl的专栏
02-12 1038
使用HttpModule实现sql注入的原因   asp.net处理Http请求时,程序得到一个请求的时候,第一个会经过Http运行时,即编译过程,在这里我们的请求会被转化为机器懂的语言。下一个,我们的请求经过不同的HttpModule,即Http模块。事实上,我们的请求到达模块时系统没有对这个请求做任何的处理,也就是说此时对于请求来讲,模块是一个请求的“必经之路”。   模块可以在这个
通过HttpModule、httpHandlersSQL注入式攻击
gancyc6的专栏
03-22 296
通过HttpModuleSQL注入式攻击,适用于.net1.1程序 (1)新建类文件SqlHttpModule.cs,具体代码类似如下: SqlHttpModule.cs using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Securit
利用HttpModule实现sql注入
weixin_33711641的博客
02-25 87
http://s.sams.cnblogs.com/articles/377924.html sql注入是被谈的很多的一个话题,有很多的方法能够实现sql注入,在这里就简单说一下如果使用HttpModule实现sql注入。 下载:http://files.cnblogs.com/zhengxiqiang/sqlhttpmodule.rar 在项目中添加一个类让其实现IHtt...
从请求管道深入剖析HttpModule实现机制图文介绍
10-27
想要了解底层的原理必须对请求处理过程和页面的生命周期有点了解才方便您入门学习一下内容,本文将详细介绍
Asp.net使用HttpModule压缩并删除空白Html请求的实现代码
10-28
当我们压缩我的Response后再传到Client端时,可以明显节省宽带. 提升Site的性能. 现在的浏览器大部分都支持Gzip,Deflate压缩
httpmodule实现权限管理
12-23
httpmodule实现权限管理 httpmodule实现权限管理 httpmodule实现权限管理
SQL常用函数
weixin_64842400的博客
05-11 381
1、CURDATE() / CURRENT_DATE 返回当前日期2、CURRENT_TIME()/CURTIME() 返回当前时间3、CURRENT_TIMESTAMP 返回当前日期+时间4、DATE()从日期或日期时间表达式中提取日期值5、DATEDIFF(d1,d2)计算日期 d1->d2 之间相隔的天数6、DATE_FORMAT按表达式 f的要求显示日期 d7、UNIX_TIMESTAMP()得到时间戳 8、FROM_UNIXTIME()时间戳转日期 二、字符串相关函数 1、CONCAT(
继续SQL
qq_47966193的博客
05-09 536
● 例如:datediff('2021-06-08','2021-06-01')返回7,datediff('2021-06-08 23:59:59','2021-06-01 21:00:00')返回7,datediff('2021-06-01','2021-06-08')返回-7。● 例如:year('2021-08-03')返回2021,month('2021-08-03')返回8,day('2021-08-03')返回3。
qt中使用QSqlite数据库时,使用QSqlTableModel不显示数据的情况
最新发布
weixin_43640730的博客
05-14 142
QSqlTableModel需要先打开数据库的连接
Flask SQLAlchemy 技术指南
Code掘金的博客
05-09 667
Flask SQLAlchemy 是一个将 SQLAlchemy 集成到 Flask 应用中的扩展。SQLAlchemy 是一个功能强大的 ORM 库,支持多种数据库后端,包括 SQLite、PostgreSQL、MySQL 等。通过 Flask SQLAlchemy,我们可以使用 Python 类和对象来操作数据库,而无需编写大量的 SQL 语句。通过这篇文章,我们了解了 Flask SQLAlchemy 的基本用法,并通过示例代码展示了如何定义数据库模型、向数据库添加数据、以及查询数据。
MY SQL 实验四:
weixin_51590201的博客
05-08 578
2) 在Connection Name 命名 连接名例如con1,其他都按默认的方式,password部分:点击Store in Vault..,在跳出的窗口中的password输入密码,无就按回车。1. SQL Development (用于连接现有的数据库,运行SQL脚本,管理数据库对象等)通过该实验掌握较复杂的SQL 查询数据库方法,包括嵌套查询,相关与不相关子查询,连接的多种方法等。例如 查找员工上级(经理)的姓名 (参考教科书例子 查询每一门课的间接先修课(即先修课的先修课))
[NSSRound#1 Basic]sql_by_sql
Jay17的博客
05-09 363
[NSSRound#1 Basic]sql_by_sql
python连接SQL Server数据库的几点建议
ISDF工软未来
05-08 328
2、换一个办法,或许会有用,即用pyodbc ,就是要注意控制面板中查一下ODBC数据源中的驱动程序中是否有ODBC Driver 17 for SQL Server,没有就找以下位置去安装。
SQL的心得
weixin_64842400的博客
05-11 423
接着,系统按照 GROUP BY 子句中的指定字段分组,并对每个分组进行计算,生成虚拟的分组结果表。执行顺序 :from > on > where > group by > having > select > distinct > order by > top。4、聚合函数本质:对指定的列进行聚合,如果我们用了group by,我们可以对每个分组应用内聚合函数。在分组内部,聚合函数会自动处理所有重复的行。具体来说,在执行 SELECT 子句时,系统先计算 SELECT 中的列表达式和函数等,然后。
sql中的exists和in的区别
Hello World
05-08 416
IN` 是一个比较运算符,它允许你在 `WHERE` 子句中将一个值与一个列表或子查询返回的结果集进行比较。如果子查询返回至少一行与外部查询中的值匹配的行,那么 `IN` 子句的结果为 `TRUE`。在SQL中,`EXISTS` 和 `IN` 都用于子查询,但它们的用法和目的有所不同。选择使用 `EXISTS` 还是 `IN` 取决于你的具体需求和查询的性能考虑。- `EXISTS` 返回布尔值(`TRUE` 或 `FALSE`)。- `IN` 需要子查询返回可以与外部查询中的列进行比较的值。
掌握SQL的时间序列分析利器:LEAD与LAG函数详解
weixin_44228413的博客
05-08 441
它们允许我们访问结果集中的前一行或后一行的数据,为数据分析和处理提供了极大的便利。LEAD和LAG函数是SQL中非常有用的窗口函数,它们允许我们访问结果集中的前一行或后一行的数据,为时间序列数据分析提供了极大的便利。LEAD和LAG函数是SQL中的窗口函数,用于访问结果集中的前一行或后一行的数据。这里,我们使用LEAD函数获取每个日期后一天的销售额,并将其与当前日期的销售额相减,得到销售额的差异。这里,我们使用LAG函数获取每个日期前一天的销售额,并将其与当前日期的销售额相除,得到销售额的比率。
Hive SQL-DML-Load加载数据
喻师傅的学习笔记
05-08 398
load用法
nestjs 实现post请求第三方接口
05-14
实现 NestJS 中的 POST 请求第三方接口, 可以使用 NestJS 中提供的 `HttpService` 模块。 首先,你需要在你的 NestJS 应用程序中引入 `HttpModule`,以便能够使用 `HttpService`: ```typescript import { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值