简单的ASP.net防SQL注入

最新推荐文章于 2023-04-27 15:11:17 发布
最新推荐文章于 2023-04-27 15:11:17 发布
阅读量756 收藏
点赞数
分类专栏: asp.net 文章标签: asp.net sql application string object null

防sql注入是每个开发人员都要考滤的问题

asp.net有个Global.asax文件,有一个Application_BeginRequest方法(应用启动获取)

就是当获取到参数时触发的事件;这里就是网站页面每次提交时都要经过的事件;在这里做防注入就一下子卡住入口了

代码如下:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//遍历Post参数,隐藏域除外
foreach (string i in this.Request.Form)
{
//输出
}
//遍历Get参数。
foreach (string i in this.Request.QueryString)
{
//输出
}
}
这样就可以遍历出页面提交上来的所有的参数;里面只写了一个“//输出”,没有写代码出来,大家可以写repsonse.write输出来看看,尝试一下;我们只需对这些参数进行过滤,如果存在不安全字符,直接跳转就走行了;
也可以加过滤  
public static string DelSQLStr(string str)
{
    if(str == null || str == "")
        return "";
    str = str.Replace(";","");
    str = str.Replace("'","");
    str= str.Replace("&","");
    str= str.Replace("%20","");
    str= str.Replace("--","");
    str= str.Replace("==","");
    str= str.Replace("<","");
    str= str.Replace(">","");
    str= str.Replace("%","");
    return str;
}

 
zky0901
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:    ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。    ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:   System
ASP.NETSQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
ASP.NET中如何SQL注入
karryz的专栏
08-05 143
SQL 注入是一个系统工程,在项目开发中就要系统的考虑SQL 注入的问题。一般做到以下4点,能比较好的控制SQL 注入: 严格验证用户的一切输入,包括URL参数。 将用户登录名称、密码等数据加密保存 不要用拼接字符串的方式来生成SQL语句,而是用SQL Parameters 传参数或者用存储过程来查询 严格验证上传文件的后缀,exe、aspx、asp等可执行程序禁止上传。 ...
ASP.netSQL注入(简单)
02-02 126
一,验证方法 /// <summary>///SQL注入过滤/// </summary>/// <param name="InText">要过滤的字符串</param>/// &lt...
ASP.NET网站SQL注入攻击
iamsyu的专栏
12-29 964
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式止注入攻击. 止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
ASP注入代码
龙狼刺的博客
04-27 609
ASP注入代码
asp.net SQL注入攻击
10-29
asp.net网站SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站止注入。
asp.net SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this....
ASP.NET中如何SQL注入式攻击
agree_able
02-05 667
       好在要ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。   ⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:   第一:替换单引号,即把所有单独出现的单引号改成两个单引号,止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from
asp.net sql注入
weixin_30699463的博客
08-03 131
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
(论坛答疑点滴)有关sql注入
weixin_34279246的博客
04-09 132
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078 大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不...
ASP.NETSQL注入
weixin_30825199的博客
02-11 841
1. 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到表单窗体递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行一些恶意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。 2. SQL注入的种类 从具体而言,SQL注入可分为五大类,分别是:数字型注入、字符型注入、搜索型注入(like)、in型的注入、句语连接型注入。 从应用来说,要...
SQL注入
liaoxiaohua1981的专栏
07-18 646
asp.net SQL注入一:一个方法        ///         ///SQL注入过滤        ///         /// 要过滤的字符串        /// 如果参数存在不安全字符,则返回true        public static bool SqlFilter2(string InText)        {            string word =
asp.netSQL注入参数过滤
HiNet
01-13 2219
//   //当有数据时交时,触发事件  //   //    //    protected void Application_BeginRequest(Object sender, EventArgs e) { //遍历Post参数,隐藏域除外  foreach (string i in this.Request.Form) { if (i == "__VIEWSTAT
asp.net c# sql学生信息管理系统
最新发布
05-14
ASP.NET Core是一种开源的Web应用程序框架,旨在为开发人员提供一种跨平台的方法来构建Web应用程序。它是Microsoft ASP.NET的下一代版本,与之前版本相比,它具有更高的性能和更好的可扩展性。 ASP.NET Core是跨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值