华域联盟 .Net 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

作者: sterben 发布: 2021年11月25日 31阅读 0评论

首先,创建一个SQLInjectionHelper类完成恶意代码的检查

代码如下

复制代码 代码如下:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Text.RegularExpressions;

/// <summary>

///SQLInjectionHelper 的摘要说明

/// </summary>

public class SQLInjectionHelper

{

/// <summary>

/// 获取Post的数据

/// </summary>

/// <param name="request"></param>

/// <returns></returns>

public static bool ValidUrlData(string request)

{

bool result = false;

if (request == "POST")

{

for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)

{

result = ValidData(HttpContext.Current.Request.Form[i].ToString());

if (result)

{

break;

}

}

}

else

{

for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)

{

result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());

if (result)

{

break;

}

}

}

return result;

}

/// <summary>

/// 验证是否存在注入代码

/// </summary>

/// <param name="inputData"></param>

/// <returns></returns>

private static bool ValidData(string inputData)

{

//验证inputData是否包含恶意集合

if (Regex.IsMatch(inputData, GetRegexString()))

{

return true;

}

else

{

return false;

}

}

/// <summary>

/// 获取正则表达式

/// </summary>

/// <returns></returns>

private static string GetRegexString()

{

//构造SQL的注入关键字符

string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };

string str_Regex = ".*(";

for (int i = 0; i < strChar.Length - 1; i++)

{

str_Regex += strChar[i] + "|";

}

str_Regex += strChar[strChar.Length - 1] + ").*";

return str_Regex;

}

}

有此类后即可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查

代码如下

复制代码 代码如下:

protected void Application_BeginRequest(object sender, EventArgs e)

{

bool result = false;

result = SQLInjectionHelper.ValidUrlData(Request.RequestType.ToUpper());

if (result)

{

Response.Write("您提交的数据有恶意字符");

Response.End();

}

}

下面以一个小程序测试

创建一个页面,如下

复制代码 代码如下:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head runat="server">

<title></title>

</head>

<body>

<form id="form1" runat="server">

<div>

<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>

<br />

<asp:Button ID="btnPost" runat="server" Text="获取Post数据"

onclick="btnPost_Click" />

</div>

<asp:Button ID="btnGet" runat="server" Text="获取Get数据" onclick="btnGet_Click" />

</form>

</body>

</html>

分别添加单击事件,如下

复制代码 代码如下:

protected void btnPost_Click(object sender, EventArgs e)

{

}

protected void btnGet_Click(object sender, EventArgs e)

{

Response.Redirect("Default.aspx?a=1&b=2&c=3");

}

在文本框中输入非法字符串,无论post请求还是get请求,都会被防SQL注入程序所截获

                      图1 测试防SQL注入程序的页面

                               图2 错误信息

您可能感兴趣的文章:

  • PHPCMS2008广告模板SQL注入漏洞修复
  • Discuz7.2版的faq.php SQL注入漏洞分析
  • 对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
  • php is_numberic函数造成的SQL注入漏洞
  • php中sql注入漏洞示例 sql注入漏洞修复
  • PHP代码网站如何防范SQL注入漏洞攻击建议分享
  • 利用SQL注入漏洞拖库的方法
  • 利用SQL注入漏洞登录后台的实现方法
  • SQL注入漏洞过程实例及解决方案

本文由 华域联盟 原创撰写:华域联盟 » 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

转载请保留出处和原文链接:https://www.cnhackhy.com/46346.htm

本文来自网络,不代表华域联盟立场,转载请注明出处。
1
标签:

作者: sterben

相关推荐

发表回复

联系我们

联系我们

2551209778

在线咨询: QQ交谈

邮箱: [email protected]

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部