Global.asax sql防注入

最新推荐文章于 2023-04-27 20:44:16 发布
最新推荐文章于 2023-04-27 20:44:16 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 安全性 文章标签: sql string 代码分析 insert delete application
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunggood/article/details/3839686
版权

可能不大专业 我觉得如果用参数化查询的话 应该能有效的避免注入攻击吧

传说中的sql注入攻击
string sql = "SELECT * FROM 表名 WHERE [Name] = '" + "' or 1=1;DROP TABLE ... --" + "'";

 

 

 

=---------------------在Global.asax文件中添加---------------

 

void Application_Beginrequest(object sender, EventArgs e) 
{
    StartProcessRequest();
}


#region SQL注入式攻击代码分析
        /// <summary>
        /// 处理用户提交的请求
        /// </summary>
        private void StartProcessRequest()
        {
            try
            {
                string getkeys = "";

                if (System.Web.HttpContext.Current.Request.QueryString != null)
                {

                    for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
                        {
                            System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
                if (System.Web.HttpContext.Current.Request.Form != null)
                {
                    for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                        if (getkeys == "__VIEWSTATE") continue;
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
                        {
                            jcFAQApp.FAQ_Util.Log.WriteMessage("<font color:red>注入攻击</red>", System.Web.HttpContext.Current.Request.UserHostAddress.ToString());
                            System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
            }
            catch
            {

            }
        }
        /// <summary>
        /// 分析用户请求是否正常
        /// </summary>
        /// <param name="Str">传入用户提交数据 </param>
        /// <returns>返回是否含有SQL注入式攻击代码 </returns>
        private bool ProcessSqlStr(string Str)
        {
            bool ReturnValue = true;
            try
            {
                if (Str.Trim() != "")
                {
                    //string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";
                    string SqlStr = "exec ¦insert ¦select ¦delete ¦update ¦mid ¦master ¦truncate ¦declare";
                    string[] anySqlStr = SqlStr.Split('¦');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.ToLower().IndexOf(ss) >= 0)
                        {
                            ReturnValue = false;
                            break;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }
        #endregion

杏鲍菇
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net中Global.asax设置Sql注入
Momolt的专栏
09-29 2306
using System; using System.IO; public partial class Global : System.Web.HttpApplication { protected void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 } pro
通用SQL注入漏洞程序(Global.asax方式)
07-24
通用SQL注入漏洞程序(Global.asax方式) 通用SQL注入漏洞程序(Global.asax方式)
通过Global.asax SQL 注入( injection)
weixin_34190136的博客
10-16 145
先看一下MSDN对Global.asax的解释: Global.asax 文件(也称为 ASP.NET 应用程序文件)是一个可选的文件,该文件包含响应 ASP.NET 或 HTTP 模块所引发的应用程序级别和会话级别事件的代码。Global.asax 文件驻留在 ASP.NET 应用程序的根目录中。运行时,分析 Global.asax 并将其编译到一个动态生成的 .NET Framework 类...
Global.asax SQL注入
wostyh的专栏
07-13 182
protected void Application_BeginRequest(Object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE"...
php global.asax 病毒,在Global.asax文件里实现通用SQL注入漏洞程序(适应于post/get请求)...
weixin_39738755的博客
04-02 151
首先,创建一个SQLInjectionHelper类完成恶意代码的检查代码如下:using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Text.RegularExpressions;/// ///SQLInjectionHelper 的摘要说明/// public ...
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
10-10
ASP.NET源码——通用SQL注入漏洞程序(Global.asax方式).zip
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程
[其他类别]通用SQL注入漏洞程序(Global.asax方式)_sqlinjection.zip
12-18
源码参考,欢迎下载
Global.asax文件里实现通用SQL注入漏洞程序(适应于post/get请求)
10-27
可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
通过添加Global.asaxSQL注入
REDMORE的专栏
04-06 457
global文件设置sql注入
04-27
global文件设置sql注入
.net通用SQL注入漏洞程序(Global.asax方式)详细用法
xinshi9608的专栏
07-15 1850
大家对于SQL注入攻击一般都是采用SQL参数语句的办法,现在介绍一种在.net通用SQL注入漏洞程序(Global.asax方式)简易方法
一种通用SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2364
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
Global.asax.cs注入处理
weixin_30384031的博客
03-23 113
可以通过在Global.asax.cs文件中添加过滤关键字的方法来实现 sql 注入攻击(sql injection),这个方法来缘于网络非本人原创,具体性能如何本人没有做测试。代码如下。 /// <summary> /// 当有数据时交时,触发事件 /// </summary> /// <param name="sen...
【网络安全】SQL注入详解
2301_77160226的博客
04-27 3301
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
Global.asax文件里实现通用SQL注入漏洞程序
qq_27915701的博客
04-08 938
首先,创建一个SQLInjectionHelper类完成恶意代码的检查 代码如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
asp.net 全局sql注入处理 sql关键字过滤 global过滤sql
naileiforever的专栏
06-14 2716
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
ASP.NET 修改Global.asax文件,SQL注入式攻击
09-27 1379
<!--google_ad_client = "pub-5186257027655535";/* 728x90, 创建于 08-9-16 */google_ad_slot = "8128559615";google_ad_width = 728;google_ad_height = 90;//--><script type="text/javascript"sr
转:PHP中SQL注入的方法
weixin_34258838的博客
10-08 760
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
ASP.NET MVC中的Global.asax文件
最新发布
05-13
Global.asax是ASP.NET MVC应用程序的全局文件,它是在应用程序启动时执行的。它包含了一些应用程序级别的事件处理程序,可以用来处理应用程序的生命周期事件,例如应用程序的启动、关闭、错误处理等。 在Global....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值