国产99久久精品_欧美日本韩国一区二区_激情小说综合网_欧美一级二级视频_午夜av电影_日本久久精品视频

最新文章專題視頻專題問(wèn)答1問(wèn)答10問(wèn)答100問(wèn)答1000問(wèn)答2000關(guān)鍵字專題1關(guān)鍵字專題50關(guān)鍵字專題500關(guān)鍵字專題1500TAG最新視頻文章推薦1 推薦3 推薦5 推薦7 推薦9 推薦11 推薦13 推薦15 推薦17 推薦19 推薦21 推薦23 推薦25 推薦27 推薦29 推薦31 推薦33 推薦35 推薦37視頻文章20視頻文章30視頻文章40視頻文章50視頻文章60 視頻文章70視頻文章80視頻文章90視頻文章100視頻文章120視頻文章140 視頻2關(guān)鍵字專題關(guān)鍵字專題tag2tag3文章專題文章專題2文章索引1文章索引2文章索引3文章索引4文章索引5123456789101112131415文章專題3
問(wèn)答文章1 問(wèn)答文章501 問(wèn)答文章1001 問(wèn)答文章1501 問(wèn)答文章2001 問(wèn)答文章2501 問(wèn)答文章3001 問(wèn)答文章3501 問(wèn)答文章4001 問(wèn)答文章4501 問(wèn)答文章5001 問(wèn)答文章5501 問(wèn)答文章6001 問(wèn)答文章6501 問(wèn)答文章7001 問(wèn)答文章7501 問(wèn)答文章8001 問(wèn)答文章8501 問(wèn)答文章9001 問(wèn)答文章9501
當(dāng)前位置: 首頁(yè) - 科技 - 知識(shí)百科 - 正文

ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng)

來(lái)源:懂視網(wǎng) 責(zé)編:小采 時(shí)間:2020-11-27 22:37:52
文檔

ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng)

ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng):什么是SQL注入? 我理解的sql注入就是一些人可以通過(guò)惡意的參數(shù)輸入,讓后臺(tái)執(zhí)行這段SQL,然后達(dá)到獲取數(shù)據(jù)或者破壞數(shù)據(jù)庫(kù)的目的! 舉個(gè)簡(jiǎn)單的查詢例子,后臺(tái)sql是拼接的:select * from Test where name='+參數(shù)傳遞+';前臺(tái)頁(yè)面要求輸入name,那么黑客
推薦度:
導(dǎo)讀ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng):什么是SQL注入? 我理解的sql注入就是一些人可以通過(guò)惡意的參數(shù)輸入,讓后臺(tái)執(zhí)行這段SQL,然后達(dá)到獲取數(shù)據(jù)或者破壞數(shù)據(jù)庫(kù)的目的! 舉個(gè)簡(jiǎn)單的查詢例子,后臺(tái)sql是拼接的:select * from Test where name='+參數(shù)傳遞+';前臺(tái)頁(yè)面要求輸入name,那么黑客

什么是SQL注入?

我理解的sql注入就是一些人可以通過(guò)惡意的參數(shù)輸入,讓后臺(tái)執(zhí)行這段SQL,然后達(dá)到獲取數(shù)據(jù)或者破壞數(shù)據(jù)庫(kù)的目的!
舉個(gè)簡(jiǎn)單的查詢例子,后臺(tái)sql是拼接的:select * from Test where name='+參數(shù)傳遞+';前臺(tái)頁(yè)面要求輸入name,那么黑客可以輸入: ';DROP TABLE Test;--   不要小瞧這一段SQL代碼:
select * from Test where name=' ';DROP TABLE Test;--';在SQL中是正確的,可執(zhí)行的,但是執(zhí)行后整個(gè)Test表都刪除了,網(wǎng)站崩潰!

最好的解決方法

最好的辦法就是不寫拼接SQL,改用參數(shù)化SQL,推薦新項(xiàng)目使用。這里不做介紹,感興趣的朋友可以自行搜索一下,本文介紹的方法適合老項(xiàng)目,就是沒有使用參數(shù)化SQL開發(fā)的程序。

使用過(guò)濾函數(shù)來(lái)過(guò)濾

將SQL一些危險(xiǎn)的關(guān)鍵字,還有注釋百分號(hào)以及分號(hào)這些根本在我們正常寫代碼的時(shí)候根本不會(huì)出現(xiàn)的字符都過(guò)濾掉,這樣能最大限度的保證SQL執(zhí)行是安全的,代碼如下:

public class SqlFilter
{
 public static void Filter()
 {
 string fileter_sql = "execute,exec,select,insert,update,delete,create,drop,alter,exists,table,sysobjects,truncate,union,and,order,xor,or,mid,cast,where,asc,desc,xp_cmdshell,join,declare,nvarchar,varchar,char,sp_oacreate,wscript.shell,xp_regwrite,',%,;,--";
 try
 {
 // -----------------------防 Post 注入-----------------------
 if (HttpContext.Current.Request.Form != null)
 {
 PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
 //把 Form 屬性改為可讀寫
 isreadonly.SetValue(HttpContext.Current.Request.Form, false, null);

 for (int k = 0; k < System.Web.HttpContext.Current.Request.Form.Count; k++)
 {
 string getsqlkey = HttpContext.Current.Request.Form.Keys[k];
 string sqlstr = HttpContext.Current.Request.Form[getsqlkey];
 string[] replace_sqls = fileter_sql.Split(',');
 foreach (string replace_sql in replace_sqls)
 {
 sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
 }
 HttpContext.Current.Request.Form[getsqlkey] = sqlstr;
 }
 }


 // -----------------------防 GET 注入-----------------------
 if (HttpContext.Current.Request.QueryString != null)
 {
 PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
 //把 QueryString 屬性改為可讀寫
 isreadonly.SetValue(HttpContext.Current.Request.QueryString, false, null);

 for (int k = 0; k < System.Web.HttpContext.Current.Request.QueryString.Count; k++)
 {
 string getsqlkey = HttpContext.Current.Request.QueryString.Keys[k];
 string sqlstr = HttpContext.Current.Request.QueryString[getsqlkey];
 string[] replace_sqls = fileter_sql.Split(',');
 foreach (string replace_sql in replace_sqls)
 {
 sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
 }
 HttpContext.Current.Request.QueryString[getsqlkey] = sqlstr;
 }
 }


 // -----------------------防 Cookies 注入-----------------------
 if (HttpContext.Current.Request.Cookies != null)
 {
 PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
 //把 Cookies 屬性改為可讀寫
 isreadonly.SetValue(HttpContext.Current.Request.Cookies, false, null);

 for (int k = 0; k < System.Web.HttpContext.Current.Request.Cookies.Count; k++)
 {
 string getsqlkey = HttpContext.Current.Request.Cookies.Keys[k];
 string sqlstr = HttpContext.Current.Request.Cookies[getsqlkey].Value;
 string[] replace_sqls = fileter_sql.Split(',');
 foreach (string replace_sql in replace_sqls)
 {
 sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
 }
 HttpContext.Current.Request.Cookies[getsqlkey].Value = sqlstr;
 }
 }
 }
 catch (Exception ex)
 {
 Console.WriteLine(ex.Message);
 }

 }

}

聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com

文檔

ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng)

ASP.NET過(guò)濾類SqlFilter,防止SQL注入 原創(chuàng):什么是SQL注入? 我理解的sql注入就是一些人可以通過(guò)惡意的參數(shù)輸入,讓后臺(tái)執(zhí)行這段SQL,然后達(dá)到獲取數(shù)據(jù)或者破壞數(shù)據(jù)庫(kù)的目的! 舉個(gè)簡(jiǎn)單的查詢例子,后臺(tái)sql是拼接的:select * from Test where name='+參數(shù)傳遞+';前臺(tái)頁(yè)面要求輸入name,那么黑客
推薦度:
標(biāo)簽: 過(guò)濾 防止 sql
  • 熱門焦點(diǎn)

最新推薦

猜你喜歡

熱門推薦

專題
Top
主站蜘蛛池模板: 久久精品一区二区影院 | 另类亚洲色图 | 亚洲欧美日韩国产综合高清 | 国产一区亚洲二区三区 | 午夜视频免费观看 | 色综合天天娱乐综合网 | 欧美人与动性xxxxx杂性 | 高清国产美女一级a毛片 | 欧美日韩国产在线人 | 亚洲精品乱码久久久久久中文字幕 | 亚洲色图 第一页 | 北条麻妃国产九九九精品视频 | 亚洲视频播放 | 久久综合影院 | 一本久道久久综合 | 久久久久成人精品一区二区 | 综合亚洲一区二区三区 | 国产日韩欧美视频在线 | 中国一级全黄的免费观看 | 欧美成人久久电影香蕉 | 国产精品伊人 | 日韩精品欧美亚洲高清有无 | 国产精品1区2区3区在线播放 | 欧美日韩精品一区二区三区视频在线 | 国产精品久久成人影院 | 国产在线精品一区二区 | 亚欧免费视频一区二区三区 | 国产乱淫a∨片免费视频 | 激情专区 | 亚洲高清一区二区三区 | 国产成人精品日本亚洲网址 | 一本综合久久国产二区 | 欧美二区在线观看 | 久久一区二区三区免费 | 国产区精品福利在线社区 | 欧美高清在线精品一区二区不卡 | 欧美91精品久久久久网免费 | 日韩专区亚洲综合久久 | 精品在线观看免费 | 日韩欧美亚洲国产高清在线 | 欧美在线一区二区三区 |