对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。
下面说下网站防注入的几点要素。
一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。
二:如果用SQL语句,那就使用参数化,添加Param
三:尽可能的使用存储过程,安全性能高而且处理速度也快
四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法
C#防SQL注入方法一
在Web.config文件中,
< appSettings>下面增加一个标签:如下
<
appSettings>
< add key="safeParameters"
value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip"
/>
< /appSettings>
其中key是 <
saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。
C#防SQL注入方法二 www.yztrans.com
在Global.asax中增加下面一段:
protected
void Application_BeginRequest(Object sender, EventArgs
e){
String[] safeParameters =
System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString()。Split(‘,‘);
for(int
i= 0 ;i < safeParameters.Length; i++){
String parameterName =
safeParameters[i].Split(‘-‘)[0];
String parameterType =
safeParameters[i].Split(‘-‘)[1];
isValidParameter(parameterName,
parameterType);
}
}
public void
isValidParameter(string parameterName, string
parameterType){
string parameterValue =
Request.QueryString[parameterName];
if(parameterValue == null)
return;
if(parameterType.Equals("int32")){
if(!parameterCheck.isInt(parameterValue))
Response.Redirect("parameterError.aspx");
}
else if
(parameterType.Equals("USzip")){
if(!parameterCheck.isUSZip(parameterValue))
Response.Redirect("parameterError.aspx");
}
else if
(parameterType.Equals("email")){
if(!parameterCheck.isEmail(parameterValue))
Response.Redirect("parameterError.aspx");
}
}
C#防SQL注入方法三
使用字符串过滤类
using
System;
namespace web.comm
{
/**//// <
summary>
/// ProcessRequest 的摘要说明。
/// <
/summary>
public class
ProcessRequest
{
public
ProcessRequest()
{
//
// TODO:
在此处添加构造函数逻辑
//
}
SQL注入式攻击代码分析#region
SQL注入式攻击代码分析
/**//// < summary>
///
处理用户提交的请求
/// < /summary>
public static void
StartProcessRequest()
{
//
System.Web.HttpContext.Current.Response.Write("<
script>alert(‘dddd‘);<
/script>");
try
{
string getkeys =
"";
//string sqlErrorPage =
System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if
(System.Web.HttpContext.Current.Request.QueryString !=
null)
{
for(int i=0;i<
System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys
= System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if
(!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))
{
//System.Web.HttpContext.Current.Response.Redirect
(sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<
script>alert(‘请勿非法提交!‘);history.back();<
/script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
if
(System.Web.HttpContext.Current.Request.Form !=
null)
{
for(int i=0;i<
System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys
= System.Web.HttpContext.Current.Request.Form.Keys[i];
if
(!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))
{
//System.Web.HttpContext.Current.Response.Redirect
(sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<
script>alert(‘请勿非法提交!‘);history.back();<
/script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
//
错误处理: 处理用户提交信息!
}
}
/**//// <
summary>
/// 分析用户请求是否正常
/// <
/summary>
/// < param name="Str">传入用户提交数据<
/param>
/// < returns>返回是否含有SQL注入式攻击代码<
/returns>
private static bool ProcessSqlStr(string Str,int
type)
{
string SqlStr;
if(type ==
1)
SqlStr = "exec |insert |select |delete |update |count |chr
|mid |master |truncate |char |declare ";
else
SqlStr =
"‘|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";
bool
ReturnValue = true;
try
{
if (Str !=
"")
{
string[] anySqlStr =
SqlStr.Split(‘|‘);
foreach (string ss in
anySqlStr)
{
if
(Str.IndexOf(ss)>=0)
{
ReturnValue =
false;
}
}
}
}
catch
{
ReturnValue
= false;
}
return
ReturnValue;
}
#endregion
}
}
相关文章
- 09-27Mybatis是如何实现SQL防注入的
- 09-27C# sql语句拼接时 like情况的防sql注入的用法
- 09-27字符串相似度计算的方法,使用SQL以及C#实现,本文非原创摘自网络(.NET SQL技术交流群入群206656202需注明博客园)
- 09-27asp.net的sql防注入和去除html标记的方法
- 09-27C#防SQL注入代码的实现方法
- 09-27C# 嵌入dll 动软代码生成器基础使用 系统缓存全解析 .NET开发中的事务处理大比拼 C#之数据类型学习 【基于EF Core的Code First模式的DotNetCore快速开发框架】完成对DB First代码生成的支持 基于EF Core的Code First模式的DotNetCore快速开发框架 【懒人有道】在asp.net core中实现程序集注入
- 09-27.NET Core(C#)使用Titanium.Web.Proxy实现Http(s)代理监控请求的方法及示例代码
- 09-27.NET(C#) Dapper Oracle(ODP.NET)或SQL Server 执行多条查询(select)语句的方法代码
- 09-27.NET Core(C#) Quartz.NET实现定时任务的方法及示例代码
- 09-27C#操作内存读写方法的主要实现代码