危险字符过滤的类

最新推荐文章于 2025-07-24 13:21:50 发布
最新推荐文章于 2025-07-24 13:21:50 发布
阅读量123 收藏
点赞数
文章标签: runtime php
本文介绍了一种基于C#的代码过滤机制,通过代理模式实现在运行时对字符串返回值进行过滤,防止潜在的脚本注入等安全威胁。该机制能够针对不同类型的恶意代码进行过滤,包括HTML、JavaScript等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

usingSystem;
usingSystem.IO;
usingSystem.Text;
usingSystem.Text.RegularExpressions;
usingSystem.Runtime.Remoting;
usingSystem.Runtime.Remoting.Proxies;
usingSystem.Runtime.Remoting.Messaging;
usingSystem.Reflection;

namespaceFilterRealProxy
{
/**////<summary>
///FilterRealProxy类:一个真实代理,拦截它所代理对象中方法的返回值,并对需要过滤的返回值进行过滤。
///</summary>
publicclassFilterRealProxy:RealProxy
{
privateMarshalByRefObjecttarget;
publicFilterRealProxy(MarshalByRefObjecttarget):base(target.GetType())
{
this.target=target;
}
publicoverrideIMessageInvoke(IMessagemsg)
{
IMethodCallMessagecallMsg=msgasIMethodCallMessage;
IMethodReturnMessagereturnMsg=RemotingServices.ExecuteMessage(target,callMsg);
//检查返回值是否为String,如果不是String,就没必要进行过滤
if(this.IsMatchType(returnMsg.ReturnValue))
{
stringreturnValue=this.Filter(returnMsg.ReturnValue.ToString(),returnMsg.MethodName);
returnnewReturnMessage(returnValue,null,0,null,callMsg);
}
returnreturnMsg;
    }
protectedstringFilter(stringReturnValue,stringMethodName)
{
MethodInfomethodInfo=target.GetType().GetMethod(MethodName);
object[]attributes=methodInfo.GetCustomAttributes(typeof(StringFilter),true);
foreach(objectattribinattributes)
{
returnFilterHandler.Process(((StringFilter)attrib).FilterType,ReturnValue);
}
returnReturnValue;
}
protectedboolIsMatchType(objectobj)
{
returnobjisSystem.String;
}
}

/**////<summary>
///StringFilter类:自定义属性类,定义目标元素的过滤类型
///</summary>
publicclassStringFilter:Attribute
{
protectedFilterType_filterType;

publicStringFilter(FilterTypefilterType)
{
this._filterType=filterType;
}
publicFilterTypeFilterType
{
get
{
return_filterType;
}
}
}

/**////<summary>
///枚举类:用于指定过滤类型,例如:对script过滤还是对html进行过滤?
///</summary>
[Flags()]
publicenumFilterType
{
Script=1,
Html=2,
Object=3,
AHrefScript=4,
Iframe=5,
Frameset=6,
Src=7,
BadWords=8,
//Include=9,
All=16
}

/**////<summary>
///过滤处理类:根据过滤类型,调用相应的过滤处理方法。
///</summary>

publicclassFilterHandler
{
privateFilterHandler()
{
}
publicstaticstringProcess(FilterTypefilterType,stringfilterContent)
{
switch(filterType)
{
caseFilterType.Script:
filterContent=FilterScript(filterContent);
break;
caseFilterType.Html:
filterContent=FilterHtml(filterContent);
break;
caseFilterType.Object:
filterContent=FilterObject(filterContent);
break;
caseFilterType.AHrefScript:
filterContent=FilterAHrefScript(filterContent);
break;
caseFilterType.Iframe:
filterContent=FilterIframe(filterContent);
break;
caseFilterType.Frameset:
filterContent=FilterFrameset(filterContent);
break;
caseFilterType.Src:
filterContent=FilterSrc(filterContent);
break;
//caseFilterType.Include:
//filterContent=FilterInclude(filterContent);
//break;
caseFilterType.BadWords:
filterContent=FilterBadWords(filterContent);
break;
caseFilterType.All:
filterContent=FilterAll(filterContent);
break;
default:
//donothing
break;
}
returnfilterContent;
}

publicstaticstringFilterScript(stringcontent)
{
stringcommentPattern=@"(?'comment'<!--.*?--[/n/r]*>)";
stringembeddedScriptComments=@"(///*.*?/*//|////.*?[/n/r])";
stringscriptPattern=String.Format(@"(?'script'<[/n/r]*script[^>]*>(.*?{0}?)*<[/n/r]*/script[^>]*>)",embeddedScriptComments);
//包含注释和Script语句
stringpattern=String.Format(@"(?s)({0}|{1})",commentPattern,scriptPattern);

returnStripScriptAttributesFromTags(Regex.Replace(content,pattern,string.Empty,RegexOptions.IgnoreCase));
}

privatestaticstringStripScriptAttributesFromTags(stringcontent)
{
stringeventAttribs=@"on(blur|c(hange|lick)|dblclick|focus|keypress|(key|mouse)(down|up)|(un)?load
|mouse(move|o(ut|ver))|reset|s(elect|ubmit))";

stringpattern=String.Format(@"(?inx)
/<(/w+)/s+
(
(?'attribute'
(?'attributeName'{0})/s*=/s*
(?'delim'['""]?)
(?'attributeValue'[^'"">]+)
(/3)
)
|
(?'attribute'
(?'attributeName'href)/s*=/s*
(?'delim'['""]?)
(?'attributeValue'javascript[^'"">]+)
(/3)
)
|
[^>]
)*
/>",eventAttribs);
Regexre=newRegex(pattern);
//使用MatchEvaluator的委托
returnre.Replace(content,newMatchEvaluator(StripAttributesHandler));
}

privatestaticstringStripAttributesHandler(Matchm)
{
if(m.Groups["attribute"].Success)
{
returnm.Value.Replace(m.Groups["attribute"].Value,"");
}
else
{
returnm.Value;
}
}

publicstaticstringFilterAHrefScript(stringcontent)
{
stringnewstr=FilterScript(content);
stringregexstr=@"href[^=]*=*[/s/S]*script*:";
returnRegex.Replace(newstr,regexstr,string.Empty,RegexOptions.IgnoreCase);
}

publicstaticstringFilterSrc(stringcontent)
{
stringnewstr=FilterScript(content);
stringregexstr=@"src*=*['""]?[^/.]+/.(js|vbs|asp|aspx|php|jsp)['""]";
returnRegex.Replace(newstr,regexstr,@"",RegexOptions.IgnoreCase);
}
/**//*
publicstaticstringFilterInclude(stringcontent)
{
stringnewstr=FilterScript(content);
stringregexstr=@"<[/s/S]*include*(file|virtual)*=*[/s/S]*/.(js|vbs|asp|aspx|php|jsp)[^>]*>";
returnRegex.Replace(newstr,regexstr,string.Empty,RegexOptions.IgnoreCase);
}
*/
publicstaticstringFilterHtml(stringcontent)
{
stringnewstr=FilterScript(content);
stringregexstr=@"<[^>]*>";
returnRegex.Replace(newstr,regexstr,string.Empty,RegexOptions.IgnoreCase);
}

publicstaticstringFilterObject(stringcontent)
{
stringregexstr=@"(?i)<Object([^>])*>(/w|/W)*</Object([^>])*>";
returnRegex.Replace(content,regexstr,string.Empty,RegexOptions.IgnoreCase);
}

publicstaticstringFilterIframe(stringcontent)
{
stringregexstr=@"(?i)<Iframe([^>])*>(/w|/W)*</Iframe([^>])*>";
returnRegex.Replace(content,regexstr,string.Empty,RegexOptions.IgnoreCase);
}

publicstaticstringFilterFrameset(stringcontent)
{
stringregexstr=@"(?i)<Frameset([^>])*>(/w|/W)*</Frameset([^>])*>";
returnRegex.Replace(content,regexstr,string.Empty,RegexOptions.IgnoreCase);
}

//移除非法或不友好字符
privatestaticstringFilterBadWords(stringchkStr)
{
//这里的非法和不友好字符由你任意加,用“|”分隔,支持正则表达式,由于本Blog禁止贴非法和不友好字符,所以这里无法加上。
stringBadWords=@"";
if(chkStr=="")
{
return"";
}

string[]bwords=BadWords.Split('#');
inti,j;
stringstr;
StringBuildersb=newStringBuilder();
for(i=0;i<bwords.Length;i++)
{
str=bwords[i].ToString().Trim();
stringregStr,toStr;
regStr=str;
Regexr=newRegex(regStr,RegexOptions.IgnoreCase|RegexOptions.Singleline|RegexOptions.Multiline);
Matchm=r.Match(chkStr);
if(m.Success)
{
j=m.Value.Length;
sb.Insert(0,"*",j);
toStr=sb.ToString();
chkStr=Regex.Replace(chkStr,regStr,toStr,RegexOptions.IgnoreCase|RegexOptions.Singleline|RegexOptions.Multiline);
}
sb.Remove(0,sb.Length);
}
returnchkStr;
}

publicstaticstringFilterAll(stringcontent)
{
content=FilterHtml(content);
content=FilterScript(content);
content=FilterAHrefScript(content);
content=FilterObject(content);
content=FilterIframe(content);
content=FilterFrameset(content);
content=FilterSrc(content);
content=FilterBadWords(content);
//content=FilterInclude(content);
returncontent;
}
}
}
iteye_14265
关注
C#检测是否有危险字符的SQL字符过滤方法
09-04
C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符的SQL字符串,以避免此攻击的发生。 首先,我们来看一个C#中实现的SQL字符过滤函数`ProcessSqlStr`。这个函数通过定义一系列的危险...
C#实现过滤sql特殊字符的方法集合
09-03
在C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
过滤特殊危险字符
hjjhce的博客
08-18 2487
一般,对于传进来的字符php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求 比如这样 代码如下 复制代码 if (!get_magic_quotes_gpc()) {         add_slashes($_GET);         add_slashes($
js中用正则表达式 过滤特殊字符, js验证中文字母数字
weixin_34087307的博客
08-14 1064
//匹配中文 数字 字母 下划线 var checkInput = function (str) { var pattern = /^[\w\u4e00-\u9fa5]+$/gi; if(pattern.test(c)) { return false; } return t...
两个常用的危险字符过滤函数
技术专栏
03-18 824
C#语言:/// /// 过滤/// /// 要过滤字符串/// public static string Filter(string Input){    if (Input == null)        return null;    string pattern = @"*|and|exec|insert|select|delete|update|count|master|tru
处理危险字符
helen的专栏
04-17 714
<br /> /// <summary> /// 过滤危险字符串 /// </summary> /// <param name="chr">要过滤字符串</param> /// <returns>返回过滤后的字符串</returns> public static string ReplaceStr(string chr) { if (chr == null)
xss特殊字符拦截与过滤
04-01
在Java代码中,我们看到了一个关键XssStrUtils,它提供了一个静态方法replaceHtmlCode用于处理字符串中的危险代码。在该方法中,首先对传入的content参数进行非空检查。接着,定义了一系列的事件关键词数组...
php表单敏感字符过滤代码
05-02
"php表单敏感字符过滤代码"提供了一种解决方案,旨在防止恶意用户利用敏感字符注入攻击,如SQL注入或跨站脚本(XSS)攻击。下面将详细解释这个代码涉及的知识点及其重要性。 首先,我们要理解表单数据的收集。...
过滤输入字符串中的危险字符
you can you up up up的博客
03-04 2811
在文本框中输入&amp;;&lt;&gt;/%=#等字符时,在处理页中会把这些字符过滤掉然后显示出过滤后的字符串 应用String提供大的replaceAll()方法,过滤字符串中指定的子字符串 public String replaceAll(String regex,String replacement) regex:表示需要替换的字符串 replacement:表示替换后的字符串 创...
re.IGNORECASE --以不区分大小写的方式对文本做查找和替换
Jack的博客
09-30 5096
问题:以不区分大小写的方式对文本做查找和替换 解决方案:需要使用re模块并且对各种操作都要加上re.IGNORECASE标记 import re text = 'UPPER PYTHON, lower python, Mixed Python' re.findall('python', text, flags=re.IGNORECASE) Out[5]:...
commdao.java怎么读,我发帖来求助不知道是不是很天真了
weixin_30610431的博客
04-01 312
该楼层疑似违规已被系统折叠隐藏此楼查看此楼汽车保养维修预约管理系统href="cpredsys_files/css.css">.STYLE1 {COLOR: #d77745}if(request.getParameter("t")!=null)session.invalidate();%>BODY {MARGIN: 0px}BODY {FONT-FAMILY: 宋体}TD {FONT...
请问这个java源文件实现的是什么功能
qq_41976482的博客
05-15 658
package util; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; ...
JavaScript RegExp 对象参考手册 ignoreCase 属性
stephen830
03-12 155
JavaScript ignoreCase 属性   返回 JavaScript RegExp 对象参考手册 (目录)   定义和用法 global 属性用于返回正则表达式是否具有标志 i。 它声明了给定的正则表达式是否执行区分大小写的匹配。 如果 i 标志被设置,则该属性为 true,否则为 false。 语法 RegExpObject.ignoreCase   实例 在下面的例子...
截取字符
09-12 335
public static string CutString(string inputString, int len)  {   ASCIIEncoding ascii = new ASCIIEncoding();   int tempLen = 0;   string tempString = "";   byte[] s = ascii.GetBytes(inputString);   for
strim去掉字符串两边的空格
夜晚有三年啊的博客
12-17 1200
public static void main(String[] args) { String test = " Hello World "; System.out.println(test.trim()); }
Math、System、Runtime
最新发布
qq_43494013的博客
07-24 280
Math、System、Runtime
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值