asp.net 防止SQL注入攻击

转载 于 2018-05-14 19:00:00 发布 · 666 阅读 · 1

本文介绍了一种在ASP.NET网站中全面防止SQL注入攻击的方法,通过配置Web.config和使用Global.asax中的请求开始事件,结合自定义的数据验证类,有效地提高了网站的安全性和维护效率。
asp.net网站防止SQL注入攻击,只要做到以下三点,网站就会比较安全了而且维护也简单。
一般的办法是每个文件都修改加入过滤代码,这样很不方便,下面介绍一种方法,可以从整个网站防止注入。


一、Web.config 
在你的Web.config文件中,在下面增加一个标签,如下:


 


[html] view plain copy
<appSettings>   
<add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-   
USzip" />   
</appSettings>   


 


二、Global.asax 
在Global.asax中增加下面一段:


[html] view plain copy
protected void Application_BeginRequest(Object sender, EventArgs e){   
String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings   
["safeParameters"].ToString().Split(',');   
for(int i= 0 ;i < safeParameters.Length; i++){   
String parameterName = safeParameters[i].Split('-')[0];   
String parameterType = safeParameters[i].Split('-')[1];   
isValidParameter(parameterName, parameterType);   
}   
}   
public void isValidParameter(string parameterName, string parameterType){   
string parameterValue = Request.QueryString[parameterName];   
if(parameterValue == null) return;   
if(parameterType.Equals("int32")){   
if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");   
}   
else if (parameterType.Equals("double")){   
if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");   
}   
else if (parameterType.Equals("USzip")){   
if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");   
}   
else if (parameterType.Equals("email")){   
if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");   
}   
}   


三、数据验证类


 


[html] view plain copy
parameterCheck.cs   
public class parameterCheck{   
public static bool isEmail(string emailString){   
return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['\\w_-]+(\\.   
['\\w_-]+)*@['\\w_-]+(\\.['\\w_-]+)*\\.[a-zA-Z]{2,4}");   
}   
public static bool isInt(string intString){   
return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(\\d{5}-\\d{4})|   
(\\d{5})$");   
}   
public static bool isUSZip(string zipString){   
return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]   
+$");   
}   
}   


以后有需要时大家只修改以上三个文件就可以了,大大的提高了维护效率,当然你也可以根据自己的需要增加其它的变量参数和数据类型等等。
ASP.NET防止SQL注入函数
04-02
ASP.NET防止SQL注入函数,C harp代码
最新通用ASPSQL注入代码实战
最新发布
weixin_29476595的博客
06-08 705
ASP(Active Server Pages)是一种服务器端脚本环境,用于创建交互式、动态网页。它是微软公司开发的一种用来取代CGI(Common Gateway Interface)的应用程序框架。ASP允许开发者插入HTML网页中执行脚本代码,它使用VBScript或JavaScript作为脚本语言。虽然ASP已逐渐被ASP.NET所取代,但它在很多旧系统中依然广泛使用。在SQL语句中,某些字符具有特殊含义。这些特殊字符包括但不限于单引号(')、双引号(")、分号(;)、感叹号(!
ASP.NET中如何防范SQL注入攻击
fuxingboy的专栏
11-27 1544
一、什么是SQL注入攻击?   所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的SQL注入攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户
asp.net 防止 sql注入
weixin_30699463的博客
08-03 180
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难防,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
ASP.netSQL注入(简单)
02-02 176
一,验证方法 /// <summary>///SQL注入过滤/// </summary>/// <param name="InText">要过滤的字符串</param>/// &lt...
ASP.NET防范SQL注入攻击的方法
01-02
一、什么是SQL注入攻击?  SQL注入攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP.NET防止SQL注入的方法示例
01-20
ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx
05-20
ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
在现代网络技术迅速发展的今天,网络安全问题愈发受到重视,其中SQL注入攻击是一种非常严重的安全威胁,尤其对于使用ASP.NET技术构建的应用程序。SQL注入允许攻击者通过输入恶意构造的SQL代码片段,使得应用程序执行...
.net 防止SQL注入的方法
04-07
.net 防止SQL注入的方法.net 防止SQL注入的方法
.Netsql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
C#.NET防止SQL注入攻击
zhangj1012003_2007的专栏
08-03 1681
1防止sql注入攻击(可用于UI层控制)#region 防止sql注入攻击(可用于UI层控制)  2  3/**////   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// t
ASP.NET网站防止SQL注入攻击
iamsyu的专栏
12-29 1155
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单
SQL注入
liaoxiaohua1981的专栏
07-18 703
asp.netSQL注入一:一个方法        ///         ///SQL注入过滤        ///         /// 要过滤的字符串        /// 如果参数存在不安全字符,则返回true        public static bool SqlFilter2(string InText)        {            string word =
ASP.NET中如何防SQL注入
karryz的专栏
08-05 197
SQL 注入是一个系统工程,在项目开发中就要系统的考虑SQL 注入的问题。一般做到以下4点,能比较好的控制SQL 注入: 严格验证用户的一切输入,包括URL参数。 将用户登录名称、密码等数据加密保存 不要用拼接字符串的方式来生成SQL语句,而是用SQL Parameters 传参数或者用存储过程来查询 严格验证上传文件的后缀,exe、aspx、asp等可执行程序禁止上传。 ...
(论坛答疑点滴)有关sql注入
03-12 1493
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078大家存在5点误区:1、sql注入比较难防,需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。2、忽略DropDownList传来的东西其实是不对的,一切客户端的东西都
.net程序防止sql注入的方法
weixin_30633405的博客
03-10 237
以下是一个.net程序防止sql注入的方法,方式一如下:将下面的代码加入到Global.asax文件中: ///<summary> ///防止SQL注入 ///</summary> ///<param ></param> ///<param ></param> ...
ASP.NET防止SQL注入攻击详解
.NET环境中,防止SQL注入攻击至关重要。以下是针对该主题的详细说明: 1. 不能盲目相信用户输入: 开发者应该始终假设用户输入可能是不安全的,即使是合法用户也可能被利用。黑客可以使用各种工具绕过浏览器直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值