.Net防sql注入的几种方法

 更新时间:2019年06月23日 10:47:09   作者:willingtolove   我要评论
这篇文章主要给大家总结介绍了关于.Net防sql注入的几种方法,文中通过示例代码介绍的非常详细,对大家学习或者使用.Net具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧

防sql注入的常用方法:

1、服务端对前端传过来的参数值进行类型验证;

2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接;

3、服务端对前端传过来的数据进行sql关键词过来与检测;

着重记录下服务端进行sql关键词检测:

1、sql关键词检测类:

public class SqlInjectHelper:System.Web.UI.Page
 {
  private static string StrKeyWord ="";
  private static string StrSymbol = ";|(|)|[|]|{|}|%|@|*|'|!";
  private HttpRequest request;
  public SqlInjectHelper(System.Web.HttpRequest _request)
  {
   this.request = _request;
  }
  public bool CheckSqlInject()
  {
   return CheckRequestQuery() || CheckRequestForm();
  }
  ///<summary> 
  ///检查URL中是否包含Sql注入 
  /// <param name="_request">当前HttpRequest对象</param> 
  /// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns> 
  ///</summary> 
  public bool CheckRequestQuery()
  {
   if (request.QueryString.Count > 0)
   {
    foreach (string sqlParam in this.request.QueryString)
    {
     if (sqlParam == "__VIEWSTATE") 
      continue;
     if (sqlParam == "__EVENTVALIDATION") 
      continue;
     if (CheckKeyWord(request.QueryString[sqlParam].ToLower()))
     {
      return true;
     }
    }
   }
   return false;
  }
  ///<summary> 
  ///检查提交的表单中是否包含Sql注入关键字
  /// <param name="_request">当前HttpRequest对象</param> 
  /// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns> 
  ///</summary> 
  public bool CheckRequestForm()
  {
   if (request.Form.Count > 0)
   {
    foreach (string sqlParam in this.request.Form)
    {
     if (sqlParam == "__VIEWSTATE") 
      continue;
     if (sqlParam == "__EVENTVALIDATION") 
      continue;
     if (CheckKeyWord(request.Form[sqlParam]))
     {
      return true;
     }
    }
   }
   return false;
  }
  ///<summary> 
  ///检查字符串中是否包含Sql注入关键字 
  /// <param name="_key">被检查的字符串</param> 
  /// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns> 
  ///</summary> 
  private static bool CheckKeyWord(string _key)
  {
   string[] pattenKeyWord = StrKeyWord.Split('|');
   string[] pattenSymbol = StrSymbol.Split('|');
   foreach (string sqlParam in pattenKeyWord)
   {
    if (_key.Contains(sqlParam + " ") || _key.Contains(" " + sqlParam))
    {
     return true;
    }
   }
   foreach (string sqlParam in pattenSymbol)
   {
    if (_key.Contains(sqlParam))
    {
     return true;
    }
   }
   return false;
  }
 }

SqlInjectHelper类中,对request的query参数和form参数进行的检测,没有对cookie的检测,如有需要,可自行加上;

2、SqlInjectHelper在哪调用呢?

1)、如果想对整个web站点的所有请求都做sql关键字检测,那就在Global.asax 的 Application_BeginRequest方法中调用;

protected void Application_BeginRequest(object sender, EventArgs e)
  {
   SqlInjectHelper myCheck = new SqlInjectHelper(Request);
   bool result = myCheck.CheckSqlInject();
   if (result)
   {
    Response.ContentType = "text/plain";
    Response.Write("您提交的数据有恶意字符!");
    Response.End();
   }
  }

2)、如果只需对某个接口文件的接口进行sql关键字检测,那只需在该文件开始处调用SqlInjectHelper类即可;

public class Handler1 : IHttpHandler
 {
  public void ProcessRequest(HttpContext context)
  {
   SqlInjectHelper myCheck = new SqlInjectHelper(context.Request);
   bool result = myCheck.CheckSqlInject();
   context.Response.ContentType = "text/plain";
   context.Response.Write(result?"您提交的数据有恶意字符!":"");
   context.Response.StatusCode = result ? 500 : 200;
  }
  public bool IsReusable
  {
   get
   {
    return false;
   }
  }
 }

上面的代码就是对某个一般处理程序(ashx)添加了sql关键字检测;

3、补充说明:asp.net中的 __VIEWSTATE、__EVENTVALIDATION、

  在sql关键字检测方法中,排除了__VIEWSTATE、__EVENTVALIDATION这两个参数;

1)、__VIEWSTATE

  ViewState是ASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。

ViewState是类Control中的一个域,其他所有控件通过继承Control来获得了ViewState功能。它的类型是system.Web.UI.StateBag,一个名称/值的对象集合。

  当请求某个页面时,ASP.NET把所有控件的状态序列化成一个字符串,然后做为窗体的隐藏属性送到客户端。当客户端把页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值;

2)、__EVENTVALIDATION

  __EVENTVALIDATION只是用来验证事件是否从合法的页面发送,只是一个数字签名,所以一般很短。

“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.;

4、sql关键词检测的另一个版本:该版本将所有危险字符都放在了一个正则表达式中;

该类不仅检测了sql常用关键字还有xss攻击的常用关键字

public class SafeHelper
 {
  private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
  public static bool PostData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.Form[i].ToString());
    if (result)
    {
     break;
    }
   }
   return result;
  }
  public static bool GetData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
    if (result)
    {
     break;
    }
   }
   return result;
  }
  public static bool CookieData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
    if (result)
    {
     break;
    }
   }
   return result;
  }
  public static bool referer()
  {
   bool result = false;
   return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
  }
  public static bool CheckData(string inputData)
  {
   if (Regex.IsMatch(inputData, StrRegex))
   {
    return true;
   }
   else
   {
    return false;
   }
  }
 }

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对澳门金沙网上娱乐的支持。

相关文章

  • ASP.NET Core配置教程之读取配置信息

    ASP.NET Core配置教程之读取配置信息

    这篇文章主要介绍了ASP.NET Core配置教程的第一篇读取配置信息,感兴趣的小伙伴们可以参考一下
    2016-04-04
  • Unicode中文转码函数代码

    Unicode中文转码函数代码

    最近在研究QQ空间里个个游戏的工具,需要把腾讯编码过的用户名解码,照实费了点劲。
    2011-01-01
  • asp.net基于JWT的web api身份验证及跨域调用实践

    asp.net基于JWT的web api身份验证及跨域调用实践

    这篇文章主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-07-07
  • .Net Core使用OpenXML导出、导入Excel

    .Net Core使用OpenXML导出、导入Excel

    这篇文章主要为大家详细介绍了.Net Core使用OpenXML导出、导入Excel的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-04-04
  • Asp.NET 多层登陆实现代码

    Asp.NET 多层登陆实现代码

    昨天尝试学着PETSHOP的分层思想,写了个.NET下的登陆例子,不过比PETSHOP要精简很多,采用access金沙国际官网,方便学习。希望对大家有帮助。
    2008-12-12
  • VS2015 update2安装历程

    VS2015 update2安装历程

    本文给大家分享的是VS2015 update2的坑爹的安装历程,简直是虐爹一百次,不过话说回来VS的Android模拟器真是流畅到爆啊,希望本文能对小伙伴们有所帮助
    2016-07-07
  • asp.net mvc实现简单的实时消息推送

    asp.net mvc实现简单的实时消息推送

    这篇文章主要介绍了asp.net mvc实现简单的实时消息推送的相关资料,需要的朋友可以参考下
    2016-07-07
  • Asp.Net 网站性能优化之缓字决 (上) 缓冲写数据

    Asp.Net 网站性能优化之缓字决 (上) 缓冲写数据

    通常情况下Asp.Net 网站的底层数据存储都是关系金沙国际官网,关系金沙国际官网资源比较昂贵,而且也很容易造成瓶颈。缓字决文章就是为大家介绍如何有效使用缓存,异步写缓冲金沙国际官网的压力,从而保证网站的性能。
    2010-06-06
  • asp.net 页面逐步呈现的方法总结

    asp.net 页面逐步呈现的方法总结

    分块编码 ( chunked encoding )就是让 response 分块编码进行传输。response 分块编码,可以先传输一部分不需要处理的 html 代码到客户端,等其他耗时代码执行完毕后再传输另外的 html 代码。
    2010-06-06
  • Visual studio 2017添加引用时报错未能正确加载ReferenceManagerPackage包的解决方法

    Visual studio 2017添加引用时报错未能正确加载ReferenceManager

    这篇文章主要介绍了VS2017添加引用时报错未能正确加载ReferenceManagerPackage包的解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-04-04

最新评论