ASP.net SQL注入问题

最新推荐文章于 2024-11-06 10:12:16 发布
最新推荐文章于 2024-11-06 10:12:16 发布
阅读量532 收藏
点赞数
文章标签: asp.net sql textbox string null delete

web.config 
    <httpHandlers>
      <!--<add verb="*" path="*.aspx" type="SqlIn.SqlInHandler"/>-->
      <add verb="*" path="*.aspx" validate="false" type="SqlIn.SqlInPost"/>
    </httpHandlers>



SqlInHandler类
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Text.RegularExpressions;
using System.Collections.Specialized;

namespace SqlIn
{
    /// <summary>
    /// SqlInPost 的摘要说明
    /// </summary>
    public class SqlInPost:IHttpHandlerFactory
    {
        public SqlInPost()
        {
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }

        public virtual IHttpHandler GetHandler(HttpContext context, string requestType, string url, string pathTranslated)
        {
            //得到编译实例(通过反射)
            PageHandlerFactory factory = (PageHandlerFactory)Activator.CreateInstance(typeof(PageHandlerFactory), true);
            IHttpHandler handler = factory.GetHandler(context, requestType, url, pathTranslated);
            //过滤字符串
            if (requestType == "POST")
            {
                Page page = handler as Page;
                if (page != null)
                    page.PreLoad += new EventHandler(FilterStrFactoryHandler_PreLoad);
            }
            if (requestType == "GET")
            {
                Page page = handler as Page;
                if (page != null)
                    page.PreLoad += new EventHandler(FilterStrFactoryHandler_PreLoad1);
            }

            //返回
            return handler;
        }
        //过滤TextBox、Input和Textarea中的特殊字符
        void FilterStrFactoryHandler_PreLoad(object sender, EventArgs e)
        {
            try
            {
                Page page = sender as Page;
                NameValueCollection postData = page.Request.Form;
                foreach (string postKey in postData)
                {
                    Control ctl = page.FindControl(postKey);
                    if (ctl as TextBox != null)
                    {
                        ((TextBox)ctl).Text = Common.InputText(((TextBox)ctl).Text);
                        continue;
                    }
                    if (ctl as HtmlInputControl != null)
                    {
                        ((HtmlInputControl)ctl).Value = Common.InputText(((HtmlInputControl)ctl).Value);
                        continue;
                    }
                    if (ctl as HtmlTextArea != null)
                    {
                        ((HtmlTextArea)ctl).Value = Common.InputText(((HtmlTextArea)ctl).Value);
                        continue;
                    }
                }
            }
            catch { }
        }

        //过滤QueryString
        void FilterStrFactoryHandler_PreLoad1(object sender, EventArgs e)
        {
            try
            {
                Page page = sender as Page;
                NameValueCollection QueryNV = page.Request.QueryString;
                bool isSafe = true;
                for (int i = 0; i < QueryNV.Count; i++)
                {
                    if (!IsSafeString(QueryNV.Get(i)))
                    {
                        isSafe = false;
                        break;
                    }
                }
                if (!isSafe)
                {
                    page.Response.Write("非法传值!");
                    page.Response.End();
                }
            }
            catch { }
        }

        public virtual void ReleaseHandler(IHttpHandler handler)
        {
        }

        //cyq 2008.5.14 判断是否为安全字符串
        public bool IsSafeString(string p)
        {
            bool ret = true;
            string[] UnSafeArray = new string[8];
            UnSafeArray[0] = "'";
            UnSafeArray[1] = "xp_cmdshell";
            UnSafeArray[2] = "exec master.dbo.xp_cmdshell";
            UnSafeArray[3] = "net localgroup administrators";
            UnSafeArray[4] = "delete from";
            UnSafeArray[5] = "net user";
            UnSafeArray[6] = "/add";
            UnSafeArray[7] = "drop table";
            foreach (string s in UnSafeArray)
            {
                if (p.ToLower().IndexOf(s) > -1)
                {
                    ret = false;
                    break;
                }
            }
            return ret;
        }

    }

    public class Common
    {
        public static string InputText(string text)
        {
            text = text.Trim();
            if (string.IsNullOrEmpty(text))
            {
                return string.Empty;
            }
            text = Regex.Replace(text, "[//s]{2,}", " ");    //two or more spaces
            text = Regex.Replace(text, "(<[b|B][r|R]/*>)+|(<[p|P](.|//n)*?>)", "/n");    //<br>
            text = Regex.Replace(text, "(//s*&[n|N][b|B][s|S][p|P];//s*)+", " ");    //&nbsp;
            text = Regex.Replace(text, "<(.|//n)*?>", string.Empty);    //any other tags
            text = text.Replace("'", "''");
            text = text.Replace("xp_cmdshell", "");
            text = text.Replace("exec master.dbo.xp_cmdshell", "");
            text = text.Replace("net localgroup administrators", "");
            text = text.Replace("delete from", "");
            text = text.Replace("net user", "");
            text = text.Replace("/add", " ");
            text = text.Replace("drop table", "");
            return text;
        }
    }
}

yushijie
关注
ASP.NET SQL 注入解决方案
何足道也
10-17 1076
一个过滤类: /// ///SqlInject 的摘要说明 /// public class SqlInject : System.Web.UI.Page { //检测到注入后的处理方式: 0:仅警告;1:警告+记录;2:警告+自定义错误页面;3:警告+记录+自定义错误页面 private const int _type = 0; private
asp.net 防止SQL注入攻击
逐日者的博客
03-09 1678
asp.net网站防止SQL注入攻击,只要做到以下三点,网站就会比较安全了而且维护也简单。 一般的办法是每个文件都修改加入过滤代码,这样很不方便,下面介绍一种方法,可以从整个网站防止注入。 一、Web.config 在你的Web.config文件中,在下面增加一个标签,如下:
ASP.net防止SQL注入方法
f789456x的博客
12-24 1074
1、sql注入比较难防,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的,一切客户端的东西都是不可信任的,select下拉框也是!因为可以自己做一个htm提交到服务器。 3、access比sqlserver不安全 安全不安全关键看怎么用,如果sqlserver还是像access一样用,一个sa帐户的话,很明显,sqlserver比access不安全,可
Asp.net SQL注入实例分享
每一天都有新的希望
10-10 8170
Asp.net SQL注入实例分享
asp.net Sql注入
yufangfang3111的专栏
10-10 1144
什么是sql注入 用一个最简单的例子说明,数据库中有一个表,user_table, CREATE TABLE user_table( id INTEGER PRIMARYKEY, username VARCHAR(32), password VARCHAR(41) ); 对一个用户进行认证,实际上就是将用户的输入即用户名和口令跟表中的各行进行比较,如果跟某行中的用户名和口令跟
ASP.NET防止Sql注入的解决方法
热门推荐
LisenYang的专栏
08-12 2万+
ASP.NET防止Sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。 做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。 一、数据验证类 以下是代码片段: parameterCheck.cs public class parameterCheck{ public static bool isEma
ASP.NET 实现SQL注入过滤
taozi_5188的专栏
11-20 3133
一、什么是SQL注入式攻击             所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:          ⑴ 某个ASP.NET We
asp.net 全局sql注入处理 sql关键字过滤 global过滤sql
naileiforever的专栏
06-14 2780
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1367
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
ASP.NET】——SQL注入
相由心生-心随相改~
06-13 2726
关于SQL注入,师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET,做新闻发布系统的时候,又遇到了,这次不能放过了~~ 定义     所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过
ASP.NET防范SQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
ASP.NET过滤类SqlFilter的目的是防止SQL注入攻击,这是一种常见的网络安全威胁。SQL注入允许恶意用户通过输入特殊构造的参数,使得后台系统执行非预期的SQL命令,从而可能获取敏感数据或破坏数据库。例如,如果一个...
ASP.NET防止SQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
05-20
ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...
ASP.NET SQL注入防范探微.pdf
09-19
ASP.NET SQL注入防范探微】 SQL注入是一种常见的网络安全威胁,尤其针对基于ASP.NET平台的Web应用程序。这种攻击方式利用了程序员在编写代码时未能充分考虑用户输入安全性的漏洞,使得攻击者能够通过正常网页接口...
什么是 ASP.NET Core?与 ASP.NET MVC 有什么区别?
最新发布
Leo的博客
11-06 560
ASP.NET Core 是一个现代的开源框架,用于构建跨平台的Web应用程序。它由微软开发,支持运行在 Windows、macOS 和 Linux 上,与传统的 ASP.NET 框架相比,ASP.NET Core 提供了更高的性能、更小的内存占用、以及更灵活的部署模式。ASP.NET Core 的模块化设计使得开发人员可以精细地控制应用程序的各个方面,并且通过中间件实现更强大的请求处理和响应功能。
【Hive sql面试题】找出连续活跃3天及以上的用户
一个大数据的爱好者
10-31 291
Hive sql面试题:找出连续活跃3天及以上的用户,包括解题思路以及答案 sql 代码
SQL实战进阶】——视图的定义、使用
jd1813346972的博客
11-02 1093
该篇文章主要利用15个案例帮助读者快速掌握SQL的视图相关用法,涉及视图的创建、删除、更新、更改等等。
数据特征工程:如何计算Teager能量算子(TEO)? | 基于SQL实现
石榴姐yyds
11-02 746
TEO(Teager能量算子),由Kaiser于1990年代提出的非线性分析方法(参见Kaiser, 1990;1993),是一种有效的非线性信号处理工具,它能即时反映信号能量的变化。通过计算相邻采样点的值,TEO能够迅速跟踪信号的动态特性。在给定的信号中,较大的TEO能量值指示更快的幅值或频率变化,从而用于检测信号的奇异性。具体而言,TKEO的离散实现遵循如下数学表达式:其中,𝑚m为指数参数,调节着能量估计的敏感度;
ASP.NET HttpModule防止SQL注入实战
"asp.net利用HttpModule实现防sql注入" ASP.NET是一个强大的Web应用程序开发框架,由微软公司提供,用于构建动态、数据驱动的网站。在ASP.NET中,HttpModule是IIS(Internet Information Services)处理请求生命...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值