asp.net (c#)检测sql注入的类)

最新推荐文章于 2022-12-09 10:11:50 发布
原创 最新推荐文章于 2022-12-09 10:11:50 发布 · 550 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#sql #asp.net #c# #string #insert
#delete

 

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using Microsoft.VisualBasic;

 

/// <summary>
/// CheckSql 的摘要说明
/// </summary>
public class CheckSql
{
    Base objbase = new Base();
    public string[] N_noarray;
    //private Int16 N_i;
    private string req_Qs, req_F, N_dbstr, N_rs, N_userIP, N_thispage;
    public System.Web.HttpRequest request;
    public System.Web.HttpResponse response;

    public CheckSql()
    {
        //
        // TODO: 在此处添加构造函数逻辑
        //
    }
    public static bool CheckStr(string str)
    {
        string N_no = ";|'|*|%| and |20%and20%| master |20%master20%|exec|insert|select|delete|count|chr|mid|truncate|char|declare";
        string[] N_noarray = N_no.Split(new char[] '|' });
        for (int i = 0; i < N_noarray.Length; i++)
        {
            if (Strings.InStr(1, str, N_noarray[i], CompareMethod.Text) > 0)
            {
                return false;
            }
        }
        return true;
    }

    public void CheckBadstring()
    {
        N_userIP = request.ServerVariables["REMOTE_ADDR"];
        N_thispage = request.ServerVariables["URL"].ToLower();

        N_check_Qs();
        N_check_form();
    }

    private void N_check_form()
    {
        if (request.Form.Count != 0)
        {
            for (int i = 0; i < request.Form.Count; i++)
            {
                if (request.Form[i].Length > 0 && request.Form[i].Length < 30)
                {
                    n_check(req_F, request.Form[i], "POST");
                }
            }
        }
    }

    private void N_check_Qs()
    {
        if (request.QueryString.Count != 0)
        {
            for (int i = 0; i < request.QueryString.Count; i++)
            {
                n_check(req_Qs, request.QueryString[i], "GET");
            }
        }
    }
    private void n_check(string ag, string agsql, string sqltype)
    {
        string N_no = ";|'|*|%| and |20%and20%| master |20%master20%|exec|insert|select|delete|count|chr|mid|truncate|char|declare";
        N_noarray = N_no.Split(new char[] '|' });
        for (int i = 0; i < N_noarray.Length; i++)
        {
            if (Strings.InStr(1, agsql.ToLower(), N_noarray[i], CompareMethod.Text) > 0)
            {
                N_regsql(ag, agsql, sqltype);
            }
        }
    }

    private void N_regsql(string ag, string agsql, string sqltype)
    {
        string sql;
        string agsql1 = agsql;
        if (agsql.IndexOf("'"> -1)
        {
            agsql1 = agsql.Replace("'""##");//'单引号用##替代
        }

        sql = "insert into SqlIn(Sqlin_IP,Sqlin_Web,Sqlin_Fs,SqlIn_Cs,Sqlin_Sj,Sqlin_date) values ('" + N_userIP + "','" + N_thispage + "','" + sqltype + "','" + ag + "','" + agsql1 + "',getdate())";

        if (sqltype != "OTHER")
        {
            objbase.ExecTransact(sql);
            response.Write("<script> Language=Javascript>alert('请不要在参数中包含非法字符尝试注入!');</script>");
            response.Write("<span style='font-size:12px'>非法操作!系统做了如下记录!<br>");
            response.Write("操作IP:" + N_userIP + "<br>");
            response.Write("操作时间:" + DateTime.Now + "<br>");
            response.Write("操作页面:" + N_thispage + "<br>");
            response.Write("提交方式:" + sqltype + "<br>");
            //response.Write("提交参数:" + ag + "<br>");
            response.Write("提交数据:" + agsql + "</span>");
            response.End();
        }
    }
}


 使用时在页面中需要验证的位置加入:

 CheckSql checksql = new CheckSql();
            checksql.request = this.Request;
            checksql.response = this.Response;
            checksql.CheckBadstring();

bear775520
关注
C#SQL注入代码的三种方法
09-04
主要介绍了C#SQL注入代码的三种方法,有需要的朋友可以参考一下
SQL注入漏洞扫描检测
12-20
SQL注入检测的全套代码和论文介绍,C#,Web应用漏洞检测技术,是一种针对web应用的积极防御技术。该技术在应用尚未遭受攻击前,模拟黑客攻击的方式对目标系统进行各种探测,发现系统潜在的漏洞。由于web应用工作在HTTP应用层协议上,所以传统的防火墙、IDS等网络层防护设备不能对其进行保护,此时就需要web应用漏洞检测工具对系统的应用层进行保护,二者互补不足,共同保护web系统的安全。
C#SQL注入检测——特别是对于旧版.NET代码
寒冰屋的专栏
03-21 2182
目录 使用Decorator模式提供添加SQL注入检测的位置 SQL注入检测代码 究竟如何检测SQL注入SQLExtensions中包含的格式化方法 自定义.NET异常 用于检测SQL注入的规则是可配置的 实现和使用此代码的步骤 MIT免费使用许可 我在本文中建议的向应用程序中添加SQL注入检测的主要技术是停止使用.ExecuteReader和.ExecuteNonQu...
C#中防治sql注入的帮助
zhang123csdn的博客
12-09 2003
C#中防治sql注入的帮助
asp.net (c#)检测sql注入
马龙宁的专栏
01-25 2016
using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;using
全站防SQL注入的修改版本
linhongdan的专栏
11-11 655
全站防SQL注入的修改版本关键词: asp.net    C#    SQL注入                                            相信Sql注入时下已不再是什么新名词了,今天也正好撞上这样的bug,网上这方面的理论很多,但真正有提供一个明确完整的解决方案的,实在是少得可怜(不知是不是我的手气太差了 ^^).废话就不多说了,下面本人就此次整理出来
解决Sql注入(C#版,Java版可效仿)
joerong666
07-24 228
全站防SQL注入的修改版本 关键词: asp.net    C#    SQL注入                                             相信Sql注入时下已不再是什么新名词了,今天也正好撞上这样的bug,网上这方面的理论很多,但真正有提供一个明确完整的解决方案的,实在是少得可怜(不知是不是我的手气太差了 ^^).废话就不多说了,下面本人就此次整理出来的Sq...
ASP.NET中防止注入攻击
我的"什么是?" -eRicSone
04-16 1898
目的:输入的字串长度,范围,格式和型进行约束. 在开发ASP.NET程序时使用请求验证防止注入攻击. 使用ASP.NET验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端. 概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cook
.net防止SQL注入方法
William的专栏
04-08 2120
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这表单特别容易受到SQL注入式攻击。第一步.使用ASP.NET请求验证.默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留
c#.net全站防止SQL注入的代码
MLAY
05-21 1028
using System; using System.Collections.Generic; using System.Linq; using System.Web; /// <summary> /// 防SQL注入检查器 /// </summary> public class SqlChecker { //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse resp...
ASP.NET网站防止SQL注入攻击
dxlftt的专栏
03-09 429
<br />目的:<br />对输入的字串长度,范围,格式和型进行约束. <br />在开发 ASP.NET 程序时使用请求验证防止注入攻击. <br />使用 ASP.NET 验证控件进行输入验证. <br />对不安全的输出编码. <br />使用命令参数集模式防止注入攻击. <br />防止错误的详细信息被返回到客户端. <br /><br />  概述 :<br />  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端 co
C# 检查字符串,防SQL注入攻击
超子
08-19 6338
看到CSDN上好多关于防SQL注入的贴子,整理了一下C#SQL 注入:http://topic.csdn.net/u/20080510/16/29c515de-c4d2-41fe-a1dc-df84de18f9b7.htmlhttp://hi.baidu.com/blueyund/blog/item/1545d1a2829b74aacaefd00d.html///         /// 检测
ASP.NET防止注入攻击
没有根柢盘深,怎有枝叶峻茂
06-29 623
ASP.NET防止注入攻击   2008-08-25 17:21:53|  分.NetC#技术 |  标签: |字号大中小 订阅   在ASP.NET中防止注入攻击 目的: ·  对输入的字串长度,范围,格式和型进行约束. ·  在开发ASP.NET程序时使用请求验证防止注入攻击. ·  使用ASP.NET验证控件进行输入验证. ·
asp.net 防止sql注入
12-11 248
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这表单特别容易受到SQL注入式攻击。 第一步.使用ASP.NET请求验证. 默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和
C#ASP.NET)正则表达式 过滤危险字符函数代码 防SQL注入 很全面的SQL关键字过滤
紫影灵风(Net)
06-05 5665
sing System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Collections; using System.Text.RegularExpressions; namespace BIReportCenter.Utility
ASP.NET程序如何防止被注入(整站通用)
dxlftt的专栏
03-09 736
<br />目的:<br />对输入的字串长度,范围,格式和型进行约束. <br />在开发 ASP.NET 程序时使用请求验证防止注入攻击. <br />使用 ASP.NET 验证控件进行输入验证. <br />对不安全的输出编码. <br />使用命令参数集模式防止注入攻击. <br />防止错误的详细信息被返回到客户端. <br /><br />  概述 :<br />  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端 co
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值