C#防SQL注入代码的三种方法

对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。

  下面说下网站防注入的几点要素。

  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。

  二:如果用SQL语句,那就使用参数化,添加Param

  三:尽可能的使用存储过程,安全性能高而且处理速度也快

  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法

  C#防SQL注入方法一

  在Web.config文件中, < appSettings>下面增加一个标签:如下


代码如下:

  < appSettings>

  < add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />

  < /appSettings>

  其中key是 < saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

  C#防SQL注入方法二

  在Global.asax中增加下面一段:


代码如下:

  protected void Application_BeginRequest(Object sender, EventArgs e){

  String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString()。Split(',');

  for(int i= 0 ;i < safeParameters.Length; i++){

  String parameterName = safeParameters[i].Split('-')[0];

  String parameterType = safeParameters[i].Split('-')[1];

  isValidParameter(parameterName, parameterType);

  }

  }

  public void isValidParameter(string parameterName, string parameterType){

  string parameterValue = Request.QueryString[parameterName];

  if(parameterValue == null) return;

  if(parameterType.Equals("int32")){

  if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  else if (parameterType.Equals("USzip")){

  if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  else if (parameterType.Equals("email")){

  if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");

  }

  }

  C#防SQL注入方法三

  使用字符串过滤类


代码如下:

  using System;

  namespace web.comm

  {

  /**//// < summary>

  /// ProcessRequest 的摘要说明。

  /// < /summary>

  public class ProcessRequest

  {

  public ProcessRequest()

  {

  //

  // TODO: 在此处添加构造函数逻辑

  //

  }

  SQL注入式攻击代码分析#region SQL注入式攻击代码分析


代码如下:

  /**//// < summary>

  /// 处理用户提交的请求

  /// < /summary>

  public static void StartProcessRequest()

  {

  // System.Web.HttpContext.Current.Response.Write("< script>alert('dddd');< /script>");

  try

  {

  string getkeys = "";

  //string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();

  if (System.Web.HttpContext.Current.Request.QueryString != null)

  {

  for(int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++)

  {

  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))

  {

  //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");

  System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");

  System.Web.HttpContext.Current.Response.End();

  }

  }

  }

  if (System.Web.HttpContext.Current.Request.Form != null)

  {

  for(int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++)

  {

  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))

  {

  //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");

  System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");

  System.Web.HttpContext.Current.Response.End();

  }

  }

  }

  }

  catch

  {

  // 错误处理: 处理用户提交信息!

  }

  }

  /**//// < summary>

  /// 分析用户请求是否正常

  /// < /summary>

  /// < param name="Str">传入用户提交数据< /param>

  /// < returns>返回是否含有SQL注入式攻击代码< /returns>

  private static bool ProcessSqlStr(string Str,int type)

  {

  string SqlStr;

  if(type == 1)

  SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";

  else

  SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";

  bool ReturnValue = true;

  try

  {

  if (Str != "")

  {

  string[] anySqlStr = SqlStr.Split('|');

  foreach (string ss in anySqlStr)

  {

  if (Str.IndexOf(ss)>=0)

  {

  ReturnValue = false;

  }

  }

  }

  }

  catch

  {

  ReturnValue = false;

  }

  return ReturnValue;

  }

  #endregion

  }

  }

(0)

相关推荐

  • C#与SQL连接:GridView控件对数据库的操作

    GridView和DataGrid的异同 GridView 是 DataGrid的后继控件,在.net framework 2 中,虽然还存在DataGrid,但是GridView已经走上了历史的前台,取代DataGrid的趋势已是势不可挡.GridView和DataGrid功能相似,都是在web页面中显示数据源中的数据,将数据源中的一行数据,也就是一条记录,显示为在web页面上输出表格中的一行. GridView相对于DataGrid来说,具有如下优势,功能上更加丰富,因为提供了智能标记面板(

  • C#实现的sqlserver操作类实例

    本文实例讲述了C#实现的sqlserver操作类.分享给大家供大家参考,具体如下: using System; using System.Collections.Generic; using System.Web; using System.Data.OleDb; using System.Data; using System.Data.SqlClient; /// <summary> ///SqlConnDb类,适用于Sql数据库操作 /// </summary> public

  • C#访问SQLServer增删改查代码实例

    一个专门实现访问sql server数据库增删改查的操作代码,分享给大家,具体内容如下 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Data; usi

  • C#实现较为实用的SQLhelper

    第一次写博客,想不到写什么好b( ̄▽ ̄)d ,考虑的半天决定从sqlhelper开始,sqlhelper对程序员来说就像helloworld一样,很简单却又很重要,helloworld代表着程序员萌新第一次写代码,而sqlhelper则是初次接触数据库(不知道这种说法对不对). 好了不废话了,下面直接上代码(无话可说了): public class SQLHelper { // 超时时间 private static int Timeout = 1000; // 数据库名称 public con

  • C#操作SQLite方法实例详解

    本文实例讲述了C#操作SQLite方法.分享给大家供大家参考.具体分析如下: 地址: System.Data.Sqlite入手... 首先import/using: 复制代码 代码如下: using System.Data.SQLite; Connection和Command: private SQLiteConnection conn; private SQLiteCommand cmd; 连接db: conn = new SQLiteConnection("Data Source=c:\\t

  • C#访问PostGreSQL数据库的方法

    我对PostGreSQL只是一知半解,记录这个过程是希望如果以后微软技术方向的人遇到类似的需求,可以有个比较直接的的参考.在不熟悉的知识领域里,总是有搜索引擎可以帮到我. 初步了解PostGreSQL数据库及数据形态 首先我想看看PostGreSQL的数据库以及我想要获取的数据形态是什么样子的,Linux和PostGreSQL这两个关键字我都不熟悉,搜了一下找到了一个可以连通PostGreSQL数据库的Windows客户端,叫pgAdmin,我装的是III版本,应该是比较新的,下载安装后看到界面

  • C#连接MySql数据库的方法

    1.要连接MySql数据库必须首先下载MySql官方的连接.net的文件,文件下载地址为http://dev.mysql.com/downloads/connector/net/6.6.html#downloads ,下载平台选择.Net&Mono,下载ZIP免安装版.2.解压缩刚才下载的mysql-connector-net-6.6.6-noinstall.zip文件,里面有几个版本选择,在这里我选V4, 选中这几个文件,然后添加到C#项目的引用中,然后就可以编写程序进行数据库的操作了. 3.

  • 详解C#中SqlParameter的作用与用法

    一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击. string sql = "update Table1 set name = 'Pudding' where ID = '1'";//未采用SqlParameter SqlConnection conn = new SqlConnection(); conn.Conne

  • C#实现的SQL备份与还原功能示例

    本文实例讲述了C#实现的SQL备份与还原功能.分享给大家供大家参考,具体如下: //记得加 folderBrowserDialog1 openFileDialog1 控件 using System.Data.SqlClient; //连接数据库 公共变量 namespace WindowsApplication1.GoodMenhod { class getSqlConnection { string sql = "Data Source=win7-pc;database=Kc;uid=sa;p

  • c#连接sqlserver数据库、插入数据、从数据库获取时间示例

    c#连接sqlserver.插入数据.从数据库获取时间 复制代码 代码如下: using System;using System.Data.SqlClient; namespace Test{    //连接数据库    public class Connection    {        private static string connectionString =            "Server = 192.168.1.222;" +            "D

  • c#操作sql server2008 的界面实例代码

    先是查询整张表,用到combobox选择查询哪张表,最后用DataGridView显示 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; namespace WindowsForms

  • c#使用file.copy实现文件备份示例

    步骤: 1.遍历D盘Source文件夹找出所有名称包含LTE的文件,文件路径存放到List<string>中2.遍历List<string>,把所有文件Copy到E盘的备份文件夹中 复制代码 代码如下: using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.DirectoryServices;using System.IO; namespace C

随机推荐