Global.asax.cs防注入问题

最新推荐文章于 2025-05-09 21:46:32 发布
原创 最新推荐文章于 2025-05-09 21:46:32 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #string #table #insert #null #delete

本文详细阐述了如何在应用程序中使用全局方法防止SQL注入攻击,通过特定的字符串分割和条件判断来检测并响应潜在的注入尝试,确保系统的安全性。

如果对参数没做处理,可以用下面的放在Global中防注入

 

  1. protected void Application_BeginRequest(Object sender, EventArgs e)  
  2. {  
  3.     //SQL防注入  
  4.     string Sql_1 = "exec ¦insert+ ¦select+ ¦delete ¦update ¦count ¦chr ¦mid ¦master+ ¦truncate ¦char ¦declare ¦drop+ ¦drop+table ¦creat+ ¦creat+table";  
  5.     string Sql_2 = "exec+ ¦insert+ ¦delete+ ¦update+ ¦count( ¦count+ ¦chr+ ¦+mid( ¦+mid+ ¦+master+ ¦truncate+ ¦char+ ¦+char( ¦declare+ ¦drop+ ¦creat+ ¦drop+table ¦creat+table";  
  6.     string[] sql_c = Sql_1.Split('¦');  
  7.     string[] sql_c1 = Sql_2.Split('¦');  
  8.   
  9.     if (Request.QueryString != null)  
  10.     {  
  11.         foreach (string sl in sql_c)  
  12.         {  
  13.             if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)  
  14.             {  
  15.                 Response.Write("警告!你的IP已经被记录!");//  
  16.                 Response.Write(sl);  
  17.                 Response.Write(Request.QueryString.ToString());  
  18.                 Response.End();  
  19.                 break;  
  20.             }  
  21.         }  
  22.     }  
  23.   
  24.     if (Request.Form.Count > 0)  
  25.     {  
  26.         string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称  
  27.         if (Request.ServerVariables["HTTP_REFERER"] != null)  
  28.         {  
  29.             string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称  
  30.             string s3 = "";  
  31.             if (s1.Length > (s2.Length - 7))  
  32.             {  
  33.                 s3 = s2.Substring(7);  
  34.             }  
  35.             else  
  36.             {  
  37.                 s3 = s2.Substring(7, s1.Length);  
  38.             }  
  39.             if (s3 != s1)  
  40.             {  
  41.                 Response.Write("你的IP已被记录!警告!");//  
  42.                 Response.End();  
  43.             }  
  44.         }  
  45.     }  
  46. }   
C#定时器【控制台程序】
Xw_Andy的专栏
11-28 1万+
 using System;using System.Timers;namespace 定时器ConsoleApplication1{class Class1{    [STAThread]   static void Main(string[] args)  {    System.Timers.Timer aTimer = new System.Timers.Timer();     aTim
global文件设置sql防注入
04-27
global文件设置sql防注入
Global.asax.cs防注入处理
weixin_30384031的博客
03-23 171
可以通过在Global.asax.cs文件中添加过滤关键字的方法来实现 防止 sql 注入攻击(sql injection),这个方法来缘于网络非本人原创,具体性能如何本人没有做测试。代码如下。 /// <summary> /// 当有数据时交时,触发事件 /// </summary> /// <param name="sen...
asp.net global 防止注入
weixin_30664615的博客
01-18 142
using System;using System.Collections;using System.ComponentModel;using System.Web;using System.Web.SessionState; namespace WebCheminfo{ /// <summary> /// Global 的摘要说明。 /// </summar...
通过添加Global.asax防止SQL注入
REDMORE的专栏
04-06 539
通过Global.asax 防范 SQL 注入( injection)
weixin_34190136的博客
10-16 214
先看一下MSDN对Global.asax的解释: Global.asax 文件(也称为 ASP.NET 应用程序文件)是一个可选的文件,该文件包含响应 ASP.NET 或 HTTP 模块所引发的应用程序级别和会话级别事件的代码。Global.asax 文件驻留在 ASP.NET 应用程序的根目录中。运行时,分析 Global.asax 并将其编译到一个动态生成的 .NET Framework 类...
asp.net mvc、Global.asax、作用、用法
csdn2990的博客
04-17 2114
框架中一种组织代码的方式,它允许将相关联的控制器、视图和其他资源组织到一个独立的命名空间下,以便更好地管理应用程序的结构和功能。的自定义路由规则,它将匹配 URL 中的控制器、操作方法和参数,并在没有定义参数时使用默认值。应用程序中,我们可以定义多个区域,并在每个区域中使用类似于默认区域的方式来组织代码。框架中一个重要的辅助方法,用于简化区域的注册过程,提高应用程序的可维护性和可扩展性。框架中非常重要的一个方法,它用于配置路由规则,以实现控制器和操作方法的自动映射。这个过程是自动完成的,无需手动添加代码。
【ASP.NET】Global.asax与Web.config
像风走过八千里
08-28 5401
背景 在创建网站的项目,总是会看到Web.config这个文件,它是用来干什么的呢?还有咱们自己也可以新建Global.asax文件,它是用来干什么的呢。在我实现一个网页上显示历史访问人数和在线人数的时候,有一种Global.asax文件和Web.config文件相似的错觉。所以就在这里详细了解一下。 Global.asax Global.asax是一个全局文件,一个ASP.NET的应用程序...
aps.net mvc中的Global.asax文件
qq_37112587的博客
01-09 407
一、Global.asax Global.asax文件会被动态编译成HttpApplication的实例,其Global.asax.cs文件中是一个MvcApplication类,继承自HttpApplication public class MvcApplication : System.Web.HttpApplication { protected void Application_Start() { AreaRegistration.RegisterAllAreas
【ASP.net】田辛老师带你深入理解ASP.NET的global.asax:从原理到迁移实战
田豆芽的IT技术专栏
05-09 980
作为一枚常年深耕ASP.NET的技术老兵,我一直把global.asax比作Web应用的“中枢神经”。这个文件看似不起眼,却能通过监听‌应用程序生命周期‌、‌会话状态‌和‌请求管道事件‌,掌控整个系统的运行节奏。在ASP.NET发展到今天, 这个文件逐渐走出历史舞台的今天, 我们回顾这个文件。 为过去20年的开发过程做一个总结。
php global.asax 病毒,在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)...
weixin_39738755的博客
04-02 234
首先,创建一个SQLInjectionHelper类完成恶意代码的检查代码如下:using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Text.RegularExpressions;/// ///SQLInjectionHelper 的摘要说明/// public ...
Global.asax取绝对路径的方法
01-02
您可能感兴趣的文章:asp.net 在global中拦截404错误的实现方法Global.cs中自动获取未处理的异常在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)Global.asax取物理路径/取绝对路径具体方法Global...
Global.asax取物理路径/取绝对路径具体方法
01-02
虚拟路径 代码如下:Server.MapPath(“~/”) 取得的就是虚拟路径 ... 您可能感兴趣的文章:asp.net 在global中拦截404错误的实现方法Global.cs中自动获取未处理的异常在Global.asax文件里实现通用防SQL注入漏洞程序
c# 全站防止sql注入
06-24
C#全站防止SQL注入是确保应用程序安全的关键措施,下面将详细介绍如何利用Global.asax和App_code中添加类来实现这一目标。 首先,我们来理解Global.asax文件的作用。Global.asax,也被称为应用程序全局事件处理程序...
通用aspx防止注入代码
12-06
2.Global.asax文件拷贝到web根目录 假如已经存在Global.asax文件,那直接把下面这段代码 void Application_BeginRequest(object sender, EventArgs e) { if (Request.Cookies != null) { if (safe_360.Cookie...
js随机函数 Math.random() 及验证码的简单应用
Xw_Andy的专栏
11-15 3389
 //声明一个随机数变量,默认为1var GetRandomn = 1;//获取随机范围内数值的函数function SetRandom(n){   SetRandom=Math.floor(Math.random()*n+1)   document.form1.a.value = SetRandom;   }//开始调用,获得一个1-100的随机数//GetRandom("10000");//输
Ado.net中数据库连接的两种模式:连接模式和断开模式
Xw_Andy的专栏
10-11 2788
Ado.net为我们提供了两种连接数据库的方式:连接模式和断开模式.对数据的读取和操作在断开数据库连接之前,这样的工作方式称为连接模式,一般使用DataReader称为连接模式.而对数据的读取在断开数据库连接之后,这样的工作方式称为断开模式,一般使用dataset.dataset包括datatable和dataview.前者用于一个表的时候,后者用于多个表合并的时候.一般都采用断开模式,这样当多个
C#在线更新程序[下载程序、解压缩程序、控制台程序]
Xw_Andy的专栏
11-28 1848
【1】下载文件using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.IO;using System.Net;namespace XuanWu.Software.EasyInfo.Interface.Update{    public class Downl
我已经在Global.asax中添加代码“builder.RegisterType<SqlSugarClient>().AsSelf().InstancePerRequest();”,我该如何使用它实现自动关闭数据库连接对象
最新发布
10-14
<think>我们正在使用Autofac进行依赖注入,并且在Global.asax中配置了SqlSugarClient的注册为InstancePerRequest(每个请求一个实例)。现在需要实现自动关闭数据库连接。 根据SqlSugar的文档和最佳实践,我们通常会设置IsAutoCloseConnection=true来实现自动关闭连接。但是,如果我们已经在Autofac中注册了SqlSugarClient为每个请求实例,那么当请求结束时,Autofac会自动释放该实例(因为SqlSugarClient实现了IDisposable接口)。在SqlSugarClient的Dispose方法中,它会关闭连接。因此,我们不需要再额外设置IsAutoCloseConnection=true。 然而,为了确保连接能够及时关闭,我们可以在注册SqlSugarClient时,在创建实例的代码中配置IsAutoCloseConnection=true(双重保障)。但这不是必须的,因为InstancePerRequest的生命周期会在请求结束时自动释放(调用Dispose)。 步骤: 1.Global.asax中配置Autofac容器,注册SqlSugarClient为InstancePerRequest。 2. 在注册时,创建SqlSugarClient实例,并配置ConnectionConfig,其中设置IsAutoCloseConnection=true(推荐,但不是必须,因为释放时会关闭连接)。 具体代码: 在Global.asax(或Startup类)中: ```csharp var builder = new ContainerBuilder(); // 其他注册... // 注册SqlSugarClient builder.Register(c => { var config = new ConnectionConfig() { ConnectionString = "你的连接字符串", DbType = DbType.SqlServer, // 根据实际情况修改 IsAutoCloseConnection = true // 这里设置为自动关闭连接 // 其他配置... }; return new SqlSugarClient(config); }).AsSelf().InstancePerRequest(); // 每个请求一个实例,请求结束自动释放 // 注册控制器等 builder.RegisterControllers(typeof(MvcApplication).Assembly); var container = builder.Build(); DependencyResolver.SetResolver(new AutofacDependencyResolver(container)); ``` 然后在控制器中通过构造函数注入SqlSugarClient: ```csharp public class HomeController : Controller { private readonly SqlSugarClient _db; public HomeController(SqlSugarClient db) { _db = db; } public ActionResult Index() { var list = _db.Queryable<SomeEntity>().ToList(); return View(list); } } ``` 这样,每个请求都会有一个独立的SqlSugarClient实例,在请求结束时,Autofac会自动调用其Dispose方法,释放连接。同时,由于我们设置了IsAutoCloseConnection=true,在每次查询后连接会立即关闭(回到连接池)。双重保障确保连接不会泄露。 注意:SqlSugar的IsAutoCloseConnection=true的作用是在每次操作后立即关闭连接(而不是等到Dispose时才关闭),这样可以让连接尽快回到连接池供其他请求使用。而Dispose方法则会在请求结束时被调用,确保万无一失。 总结:通过Autofac的InstancePerRequest注册SqlSugarClient,并设置IsAutoCloseConnection=true,可以实现自动关闭连接。 引用说明: 我们在注册时使用了Lambda表达式来创建实例(如引用[2]所示)[^2]。 同时,我们使用了InstancePerRequest(类似于引用[3]中的SingleInstance,但SingleInstance是单例,而InstancePerRequest是每个请求一个实例)[^3]。 注意:在Autofac中,InstancePerRequest()确保每个HTTP请求拥有唯一的实例,并在请求结束时自动释放。 如果你的项目是.NET Core,则需要在Startup.cs的ConfigureServices方法中配置Autofac,但原理相同。 相关问题: 1. 如何在.NET Core中使用Autofac配置SqlSugarClient? 2. 如何验证SqlSugarClient的连接已经被关闭? 3. 在Autofac中,InstancePerRequest和InstancePerLifetimeScope有什么区别? 4. 如何配置SqlSugarClient的连接池? </think>在 Global.asax 中配置 Autofac 注册 `SqlSugarClient` 为 `InstancePerRequest()` 后,实现自动关闭数据库连接对象的完整方案如下: ### 完整实现步骤 1. **Global.asax 中的 Autofac 配置** ```csharp protected void Application_Start() { var builder = new ContainerBuilder(); // 注册SqlSugarClient为每个请求独立实例 builder.Register(c => { var config = new ConnectionConfig { ConnectionString = "your_connection_string", DbType = DbType.SqlServer, IsAutoCloseConnection = true // 关键配置 }; return new SqlSugarClient(config); }).AsSelf().InstancePerRequest(); // 每个HTTP请求独立实例[^2] // 注册控制器 builder.RegisterControllers(typeof(MvcApplication).Assembly); var container = builder.Build(); DependencyResolver.SetResolver(new AutofacDependencyResolver(container)); } ``` 2. **控制器中的使用方式(无需手动释放)** ```csharp public class UserController : Controller { private readonly SqlSugarClient _db; // 通过构造函数注入 public UserController(SqlSugarClient db) { _db = db; // Autofac自动注入请求级实例 } public async Task<ActionResult> GetUsers() { // 直接使用,不需using或手动关闭 var users = await _db.Queryable<User>().ToListAsync(); return View(users); } } ``` ### 关键配置说明 1. **`InstancePerRequest()`** - 确保每个 HTTP 请求创建独立的 `SqlSugarClient` 实例 - 请求结束时 Autofac 自动调用 `Dispose()`[^3] - 避免线程安全问题,适合 Web 应用 2. **`IsAutoCloseConnection = true`**(核心) ```csharp new ConnectionConfig { IsAutoCloseConnection = true // 启用自动连接管理 } ``` - SqlSugar 会在以下时机自动关闭物理连接: - 查询操作(如 `ToList()`)完成后 - 事务提交/回滚后 - 任何异常发生时 ### 自动关闭原理 1. **请求开始阶段** ```mermaid sequenceDiagram Browser->>+Server: HTTP Request Server->>+Autofac: Create SqlSugarClient Autofac-->>-Server: 注入控制器 ``` 2. **请求处理阶段** ```mermaid sequenceDiagram Controller->>+SqlSugar: 执行查询 SqlSugar->>+DB: Open connection DB-->>-SqlSugar: 返回数据 SqlSugar-->>-Controller: 返回结果 Note right of SqlSugar: 自动关闭物理连接 ``` 3. **请求结束阶段** ```mermaid sequenceDiagram Server->>+Autofac: 请求结束 Autofac->>+SqlSugarClient: 调用Dispose() SqlSugarClient->>+DB: 释放连接池资源 autofac-->>-Server: 完成清理 ``` ### 注意事项 1. **禁止手动释放** ```csharp // 错误示例 ❌ using(var db = new SqlSugarClient(...)) { // 会破坏Autofac的生命周期管理 } ``` 2. **连接池优化配置** ```csharp new ConnectionConfig { ConnectionString = "Min Pool Size=5; Max Pool Size=100;", IsAutoCloseConnection = true } ``` 3. **验证连接状态** ```csharp // 调试时检查连接状态 var state = _db.Ado.Connection.State; // 应为 Closed (因IsAutoCloseConnection=true) ``` ### 性能对比 | 方式 | 连接开启时间 | 线程安全 | 资源释放时机 | |------|-------------|----------|--------------| | Using语句 | 手动控制 | 不安全 | 代码块结束 | | InstancePerRequest | 自动按需 | 安全 | 请求结束时 | | 单例模式 | 持续开启 | 不安全 | 应用结束时 | 此方案通过 Autofac 的生命周期管理 + SqlSugar 的自动连接机制,实现高效安全的数据库连接管理[^2][^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值