首页 / ASP.NET / asp.net 防止SQL注入攻击

asp.net 防止SQL注入攻击

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了asp.net 防止SQL注入攻击，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2075字，纯文字阅读大概需要3分钟。

内容图文

只要做到以下三点，网站就会比较安全了而且维护也简单。
一、数据验证类

parameterCheck.cs
public class parameterCheck{
public static bool isEmail(string emailString){
return System.Text.RegularExpressions.Regex.IsMatch(emailString, "[‘\\w_-]+(\\.
[‘\\w_-]+)*@[‘\\w_-]+(\\.[‘\\w_-]+)*\\.[a-zA-Z]{2,4}");
}
public static bool isInt(string intString){
return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(\\d{5}-\\d{4})|
(\\d{5})$");
}
public static bool isUSZip(string zipString){
return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]
+$");
}
}

二、Web.config
在你的Web.config文件中，在下面增加一个标签，如下：

复制代码代码如下:

其中key是后面的值为“OrderId-int32”等，其中“-”前面表示参数的名称比如：OrderId，后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段：

复制代码代码如下:

protected void Application_BeginRequest(Object sender, EventArgs e){
String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings
["safeParameters"].ToString().Split(‘,‘);
for(int i= 0 ;i < safeParameters.Length; i++){
String parameterName = safeParameters[i].Split(‘-‘)[0];
String parameterType = safeParameters[i].Split(‘-‘)[1];
isValidParameter(parameterName, parameterType);
}
}
public void isValidParameter(string parameterName, string parameterType){
string parameterValue = Request.QueryString[parameterName];
if(parameterValue == null) return;
if(parameterType.Equals("int32")){
if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
}
else if (parameterType.Equals("double")){
if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");
}
else if (parameterType.Equals("USzip")){
if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
}
else if (parameterType.Equals("email")){
if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
}
}

以后需要修改的时候大家只修改以上三个文件就可以了，整个系统的维护效率将会提高，当然你也可以根据自己的需要增加其它的变量参数和数据类型等等。

原文：http://www.jb51.net/article/18438.htm

内容总结

以上是互联网集市为您收集整理的asp.net 防止SQL注入攻击全部内容，希望文章能够帮你解决asp.net 防止SQL注入攻击所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/1290842.html

来源：【匿名】

【下一篇】asp.net伪静态关于页面优化和伪静态

更多 ►

【asp.net 防止SQL注入攻击】教程文章相关的互联网学习教程文章

asp.net 防止SQL注入攻击

只要做到以下三点，网站就会比较安全了而且维护也简单。一、数据验证类复制代码代码如下:parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString){ return System.Text.RegularExpressions.Regex.IsMatch(emailString, "[‘\\w_-]+(\\. [‘\\w_-]+)*@[‘\\w_-]+(\\.[‘\\w_-]+)*\\.[a-zA-Z]{2,4}"); } public static bool isInt(string intString){ return System.Text.RegularExpressi...

Asp.net SQL注入实例分享【图】

??Asp.net SQL注入实例分享1.web.config里加链接字段：<configuration><connectionStrings ><add name="myConnectionString"connectionString="Server=10.231.248.177;Database=testdb;User ID=sa;Password=pa$$word;Trusted_Connection=False;"providerName="System.Data.SqlClient"/></connectionStrings>2.拖几个控件在form里：<form id="form1" runat="server"><asp:Label ID="LU" runat="server" Text="User Name:"></asp:Lab...

.Net防sql注入的几种方法

防sql注入的常用方法：1、服务端对前端传过来的参数值进行类型验证； 2、服务端执行sql，使用参数化传值，而不要使用sql字符串拼接； 3、服务端对前端传过来的数据进行sql关键词过来与检测；着重记录下服务端进行sql关键词检测：1、sql关键词检测类：public class SqlInjectHelper:System.Web.UI.Page{private static string StrKeyWord = "select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmds...

ASP.NET防止SQL注入的方法示例

本文实例讲述了ASP.NET防止SQL注入的方法。分享给大家供大家参考，具体如下：最近接手别人一个项目，发现存在SQL注入漏洞，因为不想改太多代码，所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。 1、新建Global.asax文件。 2、加入如下代码： void Application_BeginRequest(object sender, EventArgs e) {bool result = false;if (Request.RequestType.ToUpper() == "POST"){//post方式的我就不写了。}else{re...

深入浅析.NET应用程序SQL注入【图】

1.准备工具:SQL SERVER ，Visual Studio 2.数据库脚本和.net代码(c#) 3.SqlServer Profiler SQL脚本代码: USE MASTER GO --检索SQLTMP数据库是否存在 IF EXISTS(SELECT * FROM SYSDATABASES WHERE name = SQLTMP) --删除SQLTMP数据库 DROP DATABASE SQLTMP GO --创建数据库 CREATE DATABASE SQLTMP GO --使用SQLTMP数据库 USE SQLTMP GO -------------创建一张表用来验证SQL注入漏洞---------------- --检索表是否存在 IF EXISTS(...

ASP.NET过滤类SqlFilter，防止SQL注入原创

什么是SQL注入？我理解的sql注入就是一些人可以通过恶意的参数输入，让后台执行这段SQL，然后达到获取数据或者破坏数据库的目的！举个简单的查询例子，后台sql是拼接的：select * from Test where name=+参数传递+；前台页面要求输入name，那么黑客可以输入： ;DROP TABLE Test;-- 不要小瞧这一段SQL代码： select * from Test where name= ;DROP TABLE Test;--；在SQL中是正确的，可执行的，但是执行后整个Test表都删除了，网...

数据库SqlParameter 的插入操作,防止sql注入的实现代码

例子：点击Button1按钮的时候就把数据插入数据库中。代码如下:using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.UI;using System.Web.UI.WebControls;using System.Text;using System.Data.SqlClient;using System.Data;using System.Configuration; namespace ParaMeter{ public partial class Test : System.Web.UI.Page { private string connectionStr; ...

c#.net全站防止SQL注入类的代码

代码如下:using System;using System.Collections.Generic;using System.Linq;using System.Web; /// <summary>/// 防SQL注入检查器/// </summary>public class SqlChecker{ //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse response; //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面 private string safeUrl = String.Empty; //Sql注入时,可...

在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)【图】

首先，创建一个SQLInjectionHelper类完成恶意代码的检查代码如下：代码如下:using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text.RegularExpressions; /// <summary> ///SQLInjectionHelper 的摘要说明 /// </summary> public class SQLInjectionHelper { /// <summary> /// 获取Post的数据 /// </summary> /// <param name="request"></param> /// <returns></returns> ...

防SQL注入生成参数化的通用分页查询语句

使用这种通用的存储过程进行分页查询，想要防SQL注入，只能对输入的参数进行过滤，例如将一个单引号“'”转换成两个单引号“''”，但这种做法是不安全的，厉害的黑客可以通过编码的方式绕过单引号的过滤，要想有效防SQL注入，只有参数化查询才是最终的解决方案。但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接，根本无法修改为参数化的查询语句，因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存...

如此高效通用的分页存储过程是带有sql注入漏洞的zt【图】

在google中搜索“分页存储过程”会出来好多结果，是大家常用的分页存储过程，今天我却要说它是有漏洞的，而且漏洞无法通过修改存储过程进行补救，如果你觉得我错了，请读下去也许你会改变看法。通常大家都会认为存储过程可以避免sql注入的漏洞，这适用于一般的存储过程，而对于通用分页存储过程是不适合的，请看下面的代码和分析！一般的通用的分页存储过程代码如下：代码如下:CREATE PROCEDURE pagination @tblName varchar(2...

asp.net(C#)防sql注入组件的实现代码

在服务器安全栏目里我写过一篇《破解通用Sql防注入方法》的文章中说到，一些通用的防注入方法中没有对cookie数据进行过滤，会给黑客留下可乘之机。当然我的这段代码对提交过来的cookie数据也进行了过滤。代码：代码如下:using System; using System.Configuration; using System.Web; using System.Globalization; namespace JNYW.StuM.SqlInject { public class SqlstrAny : IHttpModule { public void Init(HttpApplication a...

asp.net利用HttpModule实现防sql注入

1、新建一个类，实现IHttpModule接口代码代码如下:public class SqlHttpModule : IHttpModule { public void Dispose() { } public void Init(HttpApplication context) { context.AcquireRequestState += new EventHandler(context_AcquireRequestState); } } 在实现接口的Init方法时，我们选择了AcquireRequestState事件，为什么不是Begin_Request事件呢？这是因为我们在处理的时候可能用的session，而Begin_Request事件执行...

asp.net 预防SQL注入攻击之我见

1、 SQL注入攻击的本质：让客户端传递过去的字符串变成SQL语句，而且能够被执行。 2、每个程序员都必须肩负起防止SQL注入攻击的责任。　　说起防止SQL注入攻击，感觉很郁闷，这么多年了大家一直在讨论，也一直在争论，可是到了现在似乎还是没有定论。当不知道注入原理的时候会觉得很神奇，怎么就被注入了呢？会觉得很难预防。但是当知道了注入原理之后预防不就是很简单的事情了吗？　　第一次听说SQL注入攻击的时候还是在2004年...

SQL注入中绕过单引号限制继续注入

包括我写的那篇《SQL Injection的实现与应用》也是这样的例子，因为没有碰到任何的过滤，所以使我们相当轻松就注入成功了，如下：代码如下://www.gxlcms.com/show.asp?id=1;exec master.dbo.xp_cmdshell net user angel pass /add;-- 这往往给大家造成误解，认为只要变量过滤了就可以防止SQL Injection攻击，这种意识为大量程序可以注入埋下祸根，其实仅仅过滤是不够的，在被过滤的情况下我们照样玩，看下面语句：代码如下://...

首页 / ASP.NET / asp.net 防止SQL注入攻击

asp.net 防止SQL注入攻击

内容导读

内容图文

内容总结

内容备注

内容手机端

【asp.net 防止SQL注入攻击】教程文章相关的互联网学习教程文章

SQL注入 - 相关标签

ASP.NET - 技术教程分类

ASP.NET - 最新教程

ASP.NET - 最热教程