个人中心
文章发布
退出
作者热门文章
- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
26
4
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章c#.net全站防止SQL注入类的代码由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
代码如下
using System; using System.Collections.Generic; using System.Linq; using System.Web,
。
/// <summary> /// 防SQL注入检查器 /// </summary> public class SqlChecker { //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse response; //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面 private string safeUrl = String.Empty,
//Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来 //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and"; private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and"; //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来 //private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'"; private const string StrRegex = @"=|!|'"; public SqlChecker() { // // TODO: 在此处添加构造函数逻辑 // } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上 /// </summary> /// <param name="_request">当前请求的 Request 对象</param> /// <param name="_response">当前请求的 Response 对象</param> public SqlChecker(HttpRequest _request, HttpResponse _response) { this.request = _request; this.response = _response; } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上 /// </summary> /// <param name="_request">当前请求的 Request 对象</param> /// <param name="_response">当前请求的 Response 对象</param> /// <param name="_safeUrl">验证Sql注入之后将导向的安全 url</param> public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl) { this.request = _request; this.response = _response; this.safeUrl = _safeUrl; } /// <summary> /// 只读属性 SQL关键字 /// </summary> public string KeyWord { get { return StrKeyWord; } } /// <summary> /// 只读属性过滤特殊字符 /// </summary> public string RegexString { get { return StrRegex; } } /// <summary> /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本) /// </summary> public string Msg { get { string msg = "<script type='text/javascript'> " + " alert('请勿输入非法字符!'); ",
if (this.safeUrl == String.Empty) msg += " window.location.href = '" + request.RawUrl + "'"; else msg += " window.location.href = '" + safeUrl + "'",
msg += "</script>"; return msg; } } /// <summary> /// 检查URL参数中是否带有SQL注入的可能关键字。 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestQuery() { bool result = false; if (request.QueryString.Count != 0) { //若URL中参数存在,则逐个检验参数。 foreach (string queryName in this.request.QueryString) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查请求参数值是否合法 if (CheckKeyWord(request.QueryString[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查提交表单中是否存在SQL注入的可能关键字 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestForm() { bool result = false; if (request.Form.Count > 0) { //若获取提交的表单项个数不为0,则逐个比较参数 foreach (string queryName in this.request.Form) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查提交的表单参数值是否合法 if (CheckKeyWord(request.Form[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查_sword是否包涵SQL关键字 /// </summary> /// <param name="_sWord">需要检查的字符串</param> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckKeyWord(string _sWord) { bool result = false; //模式1 : 对应Sql注入的可能关键字 string[] patten1 = StrKeyWord.Split('|'); //模式2 : 对应Sql注入的可能特殊符号 string[] patten2 = StrRegex.Split('|'); //开始检查 模式1:Sql注入的可能关键字 的注入情况 foreach (string sqlKey in patten1) { if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } //开始检查 模式1:Sql注入的可能特殊符号 的注入情况 foreach (string sqlKey in patten2) { if (_sWord.IndexOf(sqlKey) >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } return result; } /// <summary> /// 执行Sql注入验证 /// </summary> public void Check() { if (CheckRequestQuery() || CheckRequestForm()) { response.Write(Msg); response.End(); } } } 。
。
使用说明 :
复制代码代码如下
。
// 使用时可以根据需要决定是要进行全局性(即针对整个应用程序)的Sql注入检查 // ,还是局部性(即在针对某个页面)的Sql注入检查 。
/*=========== 全局性设置:在Global.asax.cs 中加上以下代码 ============= protected void Application_BeginRequest(Object sender, EventArgs e) { SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check(); } 。
/*============ 局部性:在任何时候都可直接用以下代码来实现Sql注入检验 =============== SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check(),
。
最后此篇关于c#.net全站防止SQL注入类的代码的文章就讲到这里了,如果你想了解更多关于c#.net全站防止SQL注入类的代码的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
26
4
0
我有一个应用程序,其中许多对象都扩展了一个抽象类,该抽象类定义了诸如 create() edit() retrieve() 和 delete()。由于每个子类对这些函数使用相同的逻辑,抽象类定义了默认
我正在使用$anchorScroll滚动到页面顶部,其中 html 元素具有 ID #brand。 AngularJS 代码: $location.hash(
我想停用我的应用程序中的右键单击,该右键单击提供了在桌面上安装应用程序的选项。我该如何做这样的事情? 最佳答案 右键单击 Visual Studio 中的项目并选择属性。那里有一个复选框“启用浏览器运
我使用 jquery 定位 div,在我的 CSS 中我有一个 div.right-sm:hover{background-color: blue} 我想使用 jquery 停止悬停: $(this
所以,我正在尝试复制 html5“占位符”属性功能。 我目前坚持的一件事是,在获得元素焦点时,插入符号立即出现在输入的开头。 就目前情况而言,插入符号出现在用户单击的位置,然后当我使用 jQuery
当表单填写并发送时,如果您刷新页面,它表示表单将再次发送。 (再次提交表格)。 防止这种情况发生的好方法是什么?或者终止这个 session ? 这方面有什么指导吗? 谢谢 最佳答案 处理完POST信
我想阻止 @ 被输入到 input 中。但它不起作用,知道为什么吗? $(function() { $(document).on('keyup', '[placeholder="x"]', fun
我正在使用 PHP 创建一个应用程序并涉及 MySQL。如果在请求过程中发生错误,我将如何“将查询分组在一起”,检查它是否会成功,然后对真实表进行实际影响。如果对表的实际更新失败,则恢复到更新之前的状
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Best Java obfuscator ? 对于我的示例,我知道 eclipse 提供了一个反编译插件。而
这是一个演示我的问题的 fiddle :JSFiddle 我正在制作自定义下拉菜单(实际上我使用的是 icomoon 图标而不是 V)...它看起来不错,但是父元素的 ::after 是阻止选择:(
每当我编写需要大量条件的代码时,我都会这样做: if foo: if bar: if foobar: if barfoo: if foobarfoo:
我不确定术语是否正确,您可以使用哪些代码实践来使某人难以修改二进制文件/程序集以绕过检查: 例如在源代码中。 bool verificationResult = verify(); if (verif
我正在寻找一种简单的方法来检查多个零件表,以确定给定零件号在添加到给定表之前是否已经存在。 我目前想到的最好的想法是一个辅助表,它简单地将所有表中的每个 PN 列在一个列中,并带有一个唯一的键;但是我
这个问题在这里已经有了答案: jquery stop child triggering parent event (7 个答案) 关闭 8 年前。 我不确定这是否真的冒泡,我会解释。 我有这个:
我有一个 Spring MVC web 应用程序(不确定该信息是否重要,但它可能是)使用 ModelAndView 将字符串值传递给 JSP 文件。 字符串值的形式是: d@.
我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/
htmlentities 是防止 PHP 中的 XSS 的最佳解决方案吗?我还想允许像 b、i、a 和 img 这样的简单标签。实现这一点的最佳解决方案是什么?我确实考虑过 bbcode,但发现如果没
我有一个非常基本的 JAX-RS 服务(下面的 BookService 类),它允许创建 Book 类型的实体(也在下面)。 POST负载 { "acquisitionDate": 14188
我正在使用 Polymer 1.5,我确实需要“this”变量不要映射到外部。我知道 typescript 会为某些人做这件事 valid reasons . declare var Polymer:
这个问题在这里已经有了答案: Class-level read-only properties in Python (3 个答案) 关闭 6 年前。 有没有一种方法可以通过重写实例变量的 __set
我是一名优秀的程序员,十分优秀!