微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 后端开发 > C#.Net教程 > 正文

ASP.NET过滤类SqlFilter,防止SQL注入

高洛峰
发布: 2017-01-21 15:16:35
原创
2823人浏览过

什么是sql注入?

我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!
举个简单的查询例子,后台sql是拼接的:select * from Test where name='+参数传递+';前台页面要求输入name,那么黑客可以输入: ';DROP TABLE Test;--   不要小瞧这一段SQL代码:
select * from Test where name=' ';DROP TABLE Test;--';在SQL中是正确的,可执行的,但是执行后整个Test表都删除了,网站崩溃!

最好的解决方法

最好的办法就是不写拼接SQL,改用参数化SQL,推荐新项目使用。这里不做介绍,感兴趣的朋友可以自行搜索一下,本文介绍的方法适合老项目,就是没有使用参数化SQL开发的程序。

使用过滤函数来过滤

jQuery过滤 分类 排序插件MixItUp
jQuery过滤 分类 排序插件MixItUp

MixItUp是一种重量轻但功能强大的 jQuery插件,提供美丽的动画过滤和分类 排序内容。它起着很好的与现有的HTML和CSS,使其成为一个伟大的选择流体,响应布局。这是完美的组合,画廊,博客,或任何分类或排序内容!

jQuery过滤 分类 排序插件MixItUp 22
查看详情 jQuery过滤 分类 排序插件MixItUp

将SQL一些危险的关键字,还有注释百分号以及分号这些根本在我们正常写代码的时候根本不会出现的字符都过滤掉,这样能最大限度的保证SQL执行是安全的,代码如下:

public class SqlFilter
{
  public static void Filter()
  {
    string fileter_sql = "execute,exec,select,insert,update,delete,create,drop,alter,exists,table,sysobjects,truncate,union,and,order,xor,or,mid,cast,where,asc,desc,xp_cmdshell,join,declare,nvarchar,varchar,char,sp_oacreate,wscript.shell,xp_regwrite,',%,;,--";
    try
    {
      // -----------------------防 Post 注入-----------------------
      if (HttpContext.Current.Request.Form != null)
      {
        PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
        //把 Form 属性改为可读写
        isreadonly.SetValue(HttpContext.Current.Request.Form, false, null);
 
        for (int k = 0; k < System.Web.HttpContext.Current.Request.Form.Count; k++)
        {
          string getsqlkey = HttpContext.Current.Request.Form.Keys[k];
          string sqlstr = HttpContext.Current.Request.Form[getsqlkey];
          string[] replace_sqls = fileter_sql.Split(',');
          foreach (string replace_sql in replace_sqls)
          {
            sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
          }
          HttpContext.Current.Request.Form[getsqlkey] = sqlstr;
        }
      }
 
 
      // -----------------------防 GET 注入-----------------------
      if (HttpContext.Current.Request.QueryString != null)
      {
        PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
        //把 QueryString 属性改为可读写
        isreadonly.SetValue(HttpContext.Current.Request.QueryString, false, null);
 
        for (int k = 0; k < System.Web.HttpContext.Current.Request.QueryString.Count; k++)
        {
          string getsqlkey = HttpContext.Current.Request.QueryString.Keys[k];
          string sqlstr = HttpContext.Current.Request.QueryString[getsqlkey];
          string[] replace_sqls = fileter_sql.Split(',');
          foreach (string replace_sql in replace_sqls)
          {
            sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
          }
          HttpContext.Current.Request.QueryString[getsqlkey] = sqlstr;
        }
      }
 
 
      // -----------------------防 Cookies 注入-----------------------
      if (HttpContext.Current.Request.Cookies != null)
      {
        PropertyInfo isreadonly = typeof(System.Collections.Specialized.NameValueCollection).GetProperty("IsReadOnly", BindingFlags.Instance | BindingFlags.NonPublic);
        //把 Cookies 属性改为可读写
        isreadonly.SetValue(HttpContext.Current.Request.Cookies, false, null);
 
        for (int k = 0; k < System.Web.HttpContext.Current.Request.Cookies.Count; k++)
        {
          string getsqlkey = HttpContext.Current.Request.Cookies.Keys[k];
          string sqlstr = HttpContext.Current.Request.Cookies[getsqlkey].Value;
          string[] replace_sqls = fileter_sql.Split(',');
          foreach (string replace_sql in replace_sqls)
          {
            sqlstr = Regex.Replace(sqlstr, replace_sql, "", RegexOptions.IgnoreCase);
          }
          HttpContext.Current.Request.Cookies[getsqlkey].Value = sqlstr;
        }
      }
    }
    catch (Exception ex)
    {
      Console.WriteLine(ex.Message);
    }
 
  }
 
}
登录后复制

更多ASP.NET过滤类SqlFilter,防止SQL注入 相关文章请关注PHP中文网!

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇: C#学习日记20----static静态变量 与 常量 下一篇:ASP.NET防范SQL注入式攻击的方法
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
.NET怎么将字节数组(byte[])和字符串相互转换_字节数组字符串互转技巧 答案是:在.NET中,字符串与字节数组互转需选择合适编码,推荐UTF-8;文本转换使用Encoding.UTF8.GetBytes()和GetString(),非文本数据应通过Convert.ToBase64String()和FromBase64String()进行安全转换,避免乱码或数据丢失。
2025-11-08 22:37:02
114
C#怎么进行UDP通信 C# UdpClient实现UDP协议编程 使用UdpClient类可简化C#中的UDP通信。1.发送数据:创建UdpClient实例,调用Send()方法指定目标IP和端口,如向127.0.0.1:8888发送"HelloUDP!";2.接收数据:绑定端口(如8888),使用Receive()阻塞等待数据,通过IPEndPoint获取发送方信息;3.异步通信:使用ReceiveAsync()实现非阻塞接收,适合长时间监听;4.广播支持:设置EnableBroadcast=true后可向局域网广播消息。UDP无连接、高效但不保证可靠,适用
2025-11-08 22:29:29
529
.NET中List和Array有什么区别和使用场景 Array是固定长度、内存紧凑、访问快,适合已知元素个数和高性能场景;2.List是动态扩容、操作丰富,适合元素数量变化频繁的业务场景。
2025-11-08 21:55:02
808
C# 怎么使用 Entity Framework Core 进行数据库操作_C# EF Core 数据库操作完整指南 使用C#和EFCore进行数据库操作需先安装EFCore及数据库提供程序,如SqlServer;接着创建实体类和继承DbContext的上下文类;通过迁移命令生成并更新数据库结构;利用DbSet实现增删改查操作;推荐使用异步方法、FluentAPI配置关系,并在ASP.NETCore中结合依赖注入管理上下文与连接字符串。
2025-11-08 19:46:02
759
.NET怎么解析HTML文档(如使用HtmlAgilityPack)_HTML文档解析方法 HtmlAgilityPack是.NET平台常用HTML解析库,支持从字符串、文件或网络加载HTML,使用XPath查询节点,遍历DOM并修改内容,适用于爬虫和内容提取,但不解析JavaScript,需配合其他工具处理动态内容。
2025-11-08 18:07:02
752
C#中的yield关键字怎么用 C#使用yield return实现迭代器 yield关键字用于简化迭代器实现,支持惰性求值和内存优化;通过yieldreturn逐个返回元素,yieldbreak提前终止迭代,适用于大数据流、递归结构等场景;使用时需注意不能包含ref/out参数、不可在lambda中使用,且异常可能在遍历时才抛出。
2025-11-08 13:21:02
850
C# 如何从 JSON 字符串反序列化为对象_C# JSON 反序列化对象教程 答案:C#中常用System.Text.Json和Newtonsoft.Json将JSON字符串反序列化为对象。首先定义匹配的类结构,使用JsonSerializer.Deserialize()或JsonConvert.DeserializeObject()方法转换,并可通过特性自定义字段映射,支持嵌套对象与异常处理。
2025-11-08 13:11:03
597
.NET如何连接MySQL数据库并执行CRUD操作_MySQL数据库CRUD操作教程 在.NET中操作MySQL需先安装MySql.Data驱动,配置连接字符串后使用MySqlConnection建立连接,通过MySqlCommand执行参数化CRUD操作,并用try-catch处理异常,确保安全与稳定。
2025-11-08 12:29:35
945
C#中如何执行数据库的模糊查询?LIKE操作怎么做? 答案:C#中执行数据库模糊查询常用LIKE操作符结合ADO.NET或EntityFramework实现。1.使用ADO.NET时通过SqlCommand参数化查询防止SQL注入,如"NameLIKE@keyword"并传入"%张%"形式的参数;2.使用EntityFramework时可直接调用Contains、StartsWith、EndsWith方法,自动生成对应LIKE语句;3.动态拼接需谨慎,必须使用参数化避免安全风险;4.搜索含特殊字符时应使用ESCAPE关键字转义。核心是参数化查询防注
2025-11-08 12:26:02
840
.NET怎么实现多线程编程中的线程同步_多线程同步实现方案 .NET多线程同步机制包括:1.lock用于临界区保护,语法简洁但不支持超时;2.Monitor提供更细粒度控制,支持超时和线程通信;3.Mutex实现跨进程同步,性能较低;4.SemaphoreSlim限制并发数,适合单进程内使用;5.ReaderWriterLockSlim适用于读多写少场景;6.Interlocked提供原子操作,性能高;7.volatile保证变量可见性,不保证原子性。应根据场景选择合适方式以确保线程安全并避免性能瓶颈。
2025-11-07 11:52:02
674
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部