.Net防sql注入的几种方法
 更新时间:2019年06月23日 10:47:08   作者:willingtolove  

这篇文章主要给大家总结介绍了关于.Net防sql注入的几种方法,文中通过示例代码介绍的非常详细,对大家学习或者使用.Net具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧

防sql注入的常用方法:

1、服务端对前端传过来的参数值进行类型验证;
2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接;
3、服务端对前端传过来的数据进行sql关键词过来与检测;
着重记录下服务端进行sql关键词检测:

1、sql关键词检测类:

public class SqlInjectHelper:System.Web.UI.Page
{
private static string StrKeyWord = “select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net local group administrators|net user|or|and”;
private static string StrSymbol = “;|(|)|[|]|{|}|%|@|*|’|!”;

private HttpRequest request;
public SqlInjectHelper(System.Web.HttpRequest _request)
{
this.request = _request;
}
public bool CheckSqlInject()
{
return CheckRequestQuery() || CheckRequestForm();
}

///<summary>
///检查URL中是否包含Sql注入
/// <param name=”_request”>当前HttpRequest对象</param>
/// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns>
///</summary>
public bool CheckRequestQuery()
{
if (request.QueryString.Count > 0)
{
foreach (string sqlParam in this.request.QueryString)
{
if (sqlParam == “__VIEWSTATE”)
continue;
if (sqlParam == “__EVENTVALIDATION”)
continue;
if (CheckKeyWord(request.QueryString[sqlParam].ToLower()))
{
return true;
}
}
}
return false;
}
///<summary>
///检查提交的表单中是否包含Sql注入关键字
/// <param name=”_request”>当前HttpRequest对象</param>
/// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns>
///</summary>
public bool CheckRequestForm()
{
if (request.Form.Count > 0)
{
foreach (string sqlParam in this.request.Form)
{
if (sqlParam == “__VIEWSTATE”)
continue;
if (sqlParam == “__EVENTVALIDATION”)
continue;
if (CheckKeyWord(request.Form[sqlParam]))
{
return true;
}
}
}
return false;
}
///<summary>
///检查字符串中是否包含Sql注入关键字
/// <param name=”_key”>被检查的字符串</param>
/// <returns>如果包含sql注入关键字,返回:true;否则返回:false</returns>
///</summary>
private static bool CheckKeyWord(string _key)
{
string[] pattenKeyWord = StrKeyWord.Split(‘|’);
string[] pattenSymbol = StrSymbol.Split(‘|’);
foreach (string sqlParam in pattenKeyWord)
{
if (_key.Contains(sqlParam + ” “) || _key.Contains(” ” + sqlParam))
{
return true;
}
}
foreach (string sqlParam in pattenSymbol)
{
if (_key.Contains(sqlParam))
{
return true;
}
}
return false;
}

}

SqlInjectHelper类中,对request的query参数和form参数进行的检测,没有对cookie的检测,如有需要,可自行加上;
2、SqlInjectHelper在哪调用呢?

1)、如果想对整个web站点的所有请求都做sql关键字检测,那就在Global.asax 的 Application_BeginRequest方法中调用;

protected void Application_BeginRequest(object sender, EventArgs e)
{
SqlInjectHelper myCheck = new SqlInjectHelper(Request);
bool result = myCheck.CheckSqlInject();
if (result)
{
Response.ContentType = “text/plain”;
Response.Write(“您提交的数据有恶意字符!”);
Response.End();
}
}

2)、如果只需对某个接口文件的接口进行sql关键字检测,那只需在该文件开始处调用SqlInjectHelper类即可;

public class Handler1 : IHttpHandler
{
public void ProcessRequest(HttpContext context)
{
SqlInjectHelper myCheck = new SqlInjectHelper(context.Request);
bool result = myCheck.CheckSqlInject();
context.Response.ContentType = “text/plain”;
context.Response.Write(result?”您提交的数据有恶意字符!”:””);
context.Response.StatusCode = result ? 500 : 200;
}
public bool IsReusable
{
get
{
return false;
}
}
}

上面的代码就是对某个一般处理程序(ashx)添加了sql关键字检测;
3、补充说明:asp.net中的 __VIEWSTATE、__EVENTVALIDATION、

  在sql关键字检测方法中,排除了__VIEWSTATE、__EVENTVALIDATION这两个参数;
1)、__VIEWSTATE

  ViewState是ASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat=”server”,这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。

ViewState是类Control中的一个域,其他所有控件通过继承Control来获得了ViewState功能。它的类型是system.Web.UI.StateBag,一个名称/值的对象集合。

  当请求某个页面时,ASP.NET把所有控件的状态序列化成一个字符串,然后做为窗体的隐藏属性送到客户端。当客户端把页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值;
2)、__EVENTVALIDATION

  __EVENTVALIDATION只是用来验证事件是否从合法的页面发送,只是一个数字签名,所以一般很短。

“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.;
4、sql关键词检测的另一个版本:该版本将所有危险字符都放在了一个正则表达式中;

该类不仅检测了sql常用关键字还有xss攻击的常用关键字

public class SafeHelper
{
private const string StrRegex = @”<[^>]+?style=[\\w]+?:expression\\(|\\b(alert|confirm|prompt)\\b|^\\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|/\\*.+?\\*/|<\\s*script\\b|<\\s*img\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)”;
public static bool PostData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Form[i].ToString());
if (result)
{
break;
}
}
return result;
}

public static bool GetData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
{
result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
if (result)
{
break;
}
}
return result;
}
public static bool CookieData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
if (result)
{
break;
}
}
return result;

}
public static bool referer()
{
bool result = false;
return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
}
public static bool CheckData(string inputData)
{
if (Regex.IsMatch(inputData, StrRegex))
{
return true;
}
else
{
return false;
}
}
}

总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对华域联盟的支持。

您可能感兴趣的文章:c#.net全站防止SQL注入类的代码asp.net 防止SQL注入攻击asp.net利用HttpModule实现防sql注入asp.net(C#)防sql注入组件的实现代码ASP.NET过滤类SqlFilter,防止SQL注入asp.net下检测SQL注入式攻击代码asp.net 预防SQL注入攻击之我见ASP.NET防范SQL注入式攻击的方法ASP.NET防止SQL注入的方法示例深入浅析.NET应用程序SQL注入

.net
sql
注入

相关文章
ASP.NET Core2静默获取微信公众号的用户OpenId实例代码这篇文章主要给大家介绍了关于ASP.NET Core2静默获取微信公众号的用户OpenId的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧 2018-12-12
利用docker-compose搭建AspNetCore开发环境这篇文章主要为大家详细介绍了利用docker-compose搭建AspNetCore开发环境,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 2017-07-07
VS2019下opencv4.1.2配置图文教程(永久配置)这篇文章主要介绍了VS2019下opencv4.1.2配置图文教程,文中安装步骤介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 2019-11-11
asp.net 的错误处理机制讲解asp.net 的错误处理机制讲解… 2007-04-04
.net简单使用Log4net的方法(多个日志配置文件)log4net是.net中常用的一个日志记录工具,下面这篇文章主要给大家介绍了关于.net简单使用Log4net的方法(多个日志配置文件),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧 2018-11-11
Asp.net core WebApi 使用Swagger生成帮助页实例本篇文章主要介绍了Asp.net core WebApi 使用Swagger生成帮助页实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
2017-04-04
静态gb2312编码在项目传值出现中文乱码现象参考的美工静态页面是gb2312格式的,当此编码拿到项目中后,utf-8编码的系统,加载页面时,会出现样式问题,比如不能正常居中等 2013-06-06
ASP.NET2.0服务器控件之Render方法ASP.NET2.0服务器控件之Render方法… 2006-09-09
a.sp.net清除ListBox的列表项(删除所有项目)在网上搜索相关资料,相当多用户有相同要求,一次移除ListBox的列表所有项 2012-01-01
asp.net 防止SQL注入攻击asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入。 2009-06-06

最新评论

声明:本站(华域联盟www.cnhackhy.com)所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。