整站如何防止SQL注入攻击

最新推荐文章于 2018-11-23 16:59:02 发布
最新推荐文章于 2018-11-23 16:59:02 发布
阅读量360 收藏
点赞数
分类专栏: ASP.NET专题 文章标签: sql asp.net string email null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanglei_love2008/article/details/4242050
版权

asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入。 
    只要做到以下三点,网站就会比较安全了而且维护也简单。  
    一、数据验证类  
    parameterCheck.cs 

public class parameterCheck{ 
    public static bool isEmail(string emailString){ 
        return System.Text.RegularExpressions.Regex.IsMatch(emailString, "[’//w_-]+(//.
[’//w_-]+)*@[’//w_-]+(//.[’//w_-]+)*//.[a-zA-Z]{2,4}"); 
    } 
    public static bool isInt(string intString){ 
        return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(//d{5}-//d{4})|
(//d{5})$"); 
    } 
    public static bool isUSZip(string zipString){ 
        return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]
+$"); 
    } 
}


    二、Web.config 
    在你的Web.config文件中,在下面增加一个标签,如下: 

<appSettings> 
    <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-
USzip" /> 
</appSettings>


    其中key是后面的值为“OrderId-int32”等,其中“-”前面表示参数的名称比如:OrderId,后面的int32表示数据类型。 
    三、Global.asax 
    在Global.asax中增加下面一段: 

protected void Application_BeginRequest(Object sender, EventArgs e){ 
    String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings
["safeParameters"].ToString().Split(’,’); 
    for(int i= 0 ;i < safeParameters.Length; i++){ 
        String parameterName = safeParameters[i].Split(’-’)[0]; 
        String parameterType = safeParameters[i].Split(’-’)[1]; 
        isValidParameter(parameterName, parameterType); 
    } 
}  

public void isValidParameter(string parameterName, string parameterType){ 
    string parameterValue = Request.QueryString[parameterName]; 
    if(parameterValue == null) return; 

    if(parameterType.Equals("int32")){ 
        if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx"); 
    } 
    else if (parameterType.Equals("double")){ 
        if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx"); 
    } 
    else if (parameterType.Equals("USzip")){ 
        if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx"); 
    } 
    else if (parameterType.Equals("email")){ 
        if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx"); 
    } 
}


    以后需要修改的时候大家只修改以上三个文件就可以了,整个系统的维护效率将会提高,当然你也可以根据自己的需要增加其它的变量参数和数据类型等等。

中年秃头大叔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
整站如何防止SQL注入方式入侵
weixin_34268843的博客
04-01 106
防止SQL注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一下如何从整个系统防止注入。 做到以下三步,相信你的程序就会比较安全了,而且对整个网站的维护也将变的简单。 一、数据验证类 parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString)...
如何防止 SQL 注入?
weixin_40074744的博客
10-25 237
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入的问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
如何保护web站点免受SQL注入攻击
php_younger的博客
09-22 398
1、SQL注入成因: 通过SQL命令插入到Web变淡递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 2、SQL注入攻击原理: 由于SQL作为一种解析 型语言,在运行时是由一个运行时组件解析语言代码并执行其中包含的指令语言。基于这种执行方式产生了一系列叫做代码注入的漏洞。然而开发没有过滤敏感字符,绑定变量,导致攻击者可以利用SQL灵活多变的语法构造精心巧妙
asp.net 防止SQL注入攻击
Jaylon Wang的专栏
07-21 1197
只要做到以下三点,网站就会比较安全了而且维护也简单。  一、数据验证类  复制代码代码如下: parameterCheck.cs  public class parameterCheck{  public static bool isEmail(string emailString){  return System.Text.RegularExpressions.Regex
ASP.NETSQL注入
weixin_30825199的博客
02-11 842
1. 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到表单窗体递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行一些恶意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。 2. SQL注入的种类 从具体而言,SQL注入可分为五大类,分别是:数字型注入、字符型注入、搜索型注入(like)、in型的注入、句语连接型注入。 从应用来说,要...
从对网站进行SQL注入到下载网站整站源码的全过程.zip
12-11
在网络安全领域,SQL注入是一种常见的攻击手段,通过利用网站应用程序对用户输入数据的不恰当处理,攻击者可以执行恶意的SQL语句,从而获取敏感信息,甚至完全控制网站。本资料包提供了一个从发现SQL注入漏洞到下载...
sql注入原理及php注入代码.doc
最新发布
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来...防止SQL注入需要了解SQL注入原理和防止SQL注入的方法,使用注入函数和代码来防止SQL注入
婚恋交友整站模板
04-02
3. 安全性:使用HTTPS协议保证数据传输安全,防止SQL注入和XSS攻击,保护用户隐私。 4. 移动适配:考虑到移动设备的普及,模板应具备良好的移动端兼容性和用户体验。 四、优化与维护 1. SEO优化:优化关键词、元...
大学教育主题整站模板
04-02
模板应具备一定的安全护措施,如防止SQL注入、XSS攻击等。同时,优化代码和资源加载,确保网站加载速度快,用户体验流畅。 七、定制与扩展 对于有特定需求的大学,整站模板通常具有高度可定制性,可以通过修改CSS...
智慧城市wifi整站网站模板
04-02
同时,应有防止SQL注入、XSS攻击护机制,确保用户信息安全。 8. 扩展性:随着技术的发展和需求的变化,模板应具有良好的扩展性,方便添加新的功能模块或接口,适应未来智慧城市发展的需求。 9. SEO优化:为了...
(转).Net程序如何防止被注入(整站通用)
jackyrongvip的专栏
06-07 764
作者:淘特网 出处:淘特网注:转载请注明出处防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmail(st
ASP.NET中如何SQL注入攻击
fuxingboy的专栏
11-27 1479
一、什么是SQL注入攻击?   所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的SQL注入攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户
Net程序如何防止被注入(整站通用)
weixin_34266504的博客
02-23 95
防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。 做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。 一、数据验证类:parameterCheck.cs   public class parameterCheck{    public static bool isEmail(string emailString)...
ASP.NET防止SqlMap注入示例
sinat_21813453的博客
11-23 1267
第一步:在Web.config中配置 &lt;appSettings&gt;     &lt;add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" /&gt; &lt;/appSettings&gt;  第二步:在Global.asaxz中添加 protected vo...
.Net程序如何防止被注入(整站通用)
weixin_30787531的博客
01-06 83
防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。 一、数据验证类:parameterCheck.cs public class parameterCheck{ public static bool isEmailstring emailString){ re...
网站安全性:C#SQL注入代码的实现方法
XMM_1030的专栏
01-11 1274
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。     下面说下网站注入的几点要素。     一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。     二:如果用SQL语句,那就使用参数化,添加Param     三:尽可能的使用存储过程,安全性能高而且处
Oracle开发人员SQL注入攻击指南
"Oracle开发人员SQL注入攻击入门教程" 这篇文档详细介绍了Oracle开发人员需要知道的关于SQL注入攻击的相关知识,旨在提高对这种攻击形式的认识并提供御策略。以下是主要的知识点: 1、**SQL注入概述** SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值