.net sql防注入代码

最新推荐文章于 2017-08-09 09:13:40 发布
最新推荐文章于 2017-08-09 09:13:40 发布
阅读量502 收藏
点赞数
分类专栏: asp.net 文章标签: .net sql textbox string null insert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lyjaiyu/article/details/5445258
版权
web.config文件调用 
    <httpHandlers>
      <add verb="*" path="*.aspx" validate="false" type="SqlIn.SqlInPost"/>
    </httpHandlers>
 </system.web>
 
SqlInPost.cs 放到app_code 目录下:
 
SqlInPost.cs
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Text.RegularExpressions;
using System.Collections.Specialized;
namespace SqlIn
{
    /// <summary>
    /// SqlInPost 的摘要说明
    /// </summary>
    public class SqlInPost:IHttpHandlerFactory
    {
        public SqlInPost()
        {
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }
        public virtual IHttpHandler GetHandler(HttpContext context, string requestType, string url, string pathTranslated)
        {
            //得到编译实例(通过反射)
            PageHandlerFactory factory = (PageHandlerFactory)Activator.CreateInstance(typeof(PageHandlerFactory), true);
            IHttpHandler handler = factory.GetHandler(context, requestType, url, pathTranslated);
            //过滤字符串
            if (requestType == "POST")
            {
                Page page = handler as Page;
                if (page != null)
                    page.PreLoad += new EventHandler(FilterStrFactoryHandler_PreLoad);
            }
            if (requestType == "GET")
            {
                Page page = handler as Page;
                if (page != null)
                    page.PreLoad += new EventHandler(FilterStrFactoryHandler_PreLoad1);
            }
            //返回
            return handler;
        }
        //过滤TextBox、Input和Textarea中的特殊字符
        void FilterStrFactoryHandler_PreLoad(object sender, EventArgs e)
        {
            try
            {
                Page page = sender as Page;
                NameValueCollection postData = page.Request.Form;
                foreach (string postKey in postData)
                {
                    Control ctl = page.FindControl(postKey);
                    if (ctl as TextBox != null)
                    {
                        ((TextBox)ctl).Text = Common.InputText(((TextBox)ctl).Text);
                        continue;
                    }
                    if (ctl as HtmlInputControl != null)
                    {
                        ((HtmlInputControl)ctl).Value = Common.InputText(((HtmlInputControl)ctl).Value);
                        continue;
                    }
                    if (ctl as HtmlTextArea != null)
                    {
                        ((HtmlTextArea)ctl).Value = Common.InputText(((HtmlTextArea)ctl).Value);
                        continue;
                    }
                }
            }
            catch { }
        }
        //过滤QueryString
        void FilterStrFactoryHandler_PreLoad1(object sender, EventArgs e)
        {
            try
            {
                Page page = sender as Page;
                NameValueCollection QueryNV = page.Request.QueryString;
                bool isSafe = true;
                for (int i = 0; i < QueryNV.Count; i++)
                {
                    if (!IsSafeString(QueryNV.Get(i)))
                    {
                        isSafe = false;
                        break;
                    }
                }
                if (!isSafe)
                {
                    page.Response.Write("非法传值!");
                    page.Response.End();
                }
            }
            catch { }
        }
        public virtual void ReleaseHandler(IHttpHandler handler)
        {
        }
        //判断是否为安全字符串
        public bool IsSafeString(string p)
        {
            bool ret = true;
            string[] UnSafeArray = new string[22];
            UnSafeArray[0] = "'";
            UnSafeArray[1] = "xp_cmdshell";
            UnSafeArray[2] = "exec master.dbo.xp_cmdshell";
            UnSafeArray[3] = "net localgroup administrators";
            UnSafeArray[4] = "delete from";
            UnSafeArray[5] = "net user";
            UnSafeArray[6] = "/add";
            UnSafeArray[7] = "drop table";
            UnSafeArray[8] = "update ";
            UnSafeArray[9] = "select";
            UnSafeArray[10] = ";and";
            UnSafeArray[11] = ";exec";
            UnSafeArray[12] = ";create";
            UnSafeArray[13] = ";insert";
            UnSafeArray[14] = "and";
            UnSafeArray[15] = "exec";
            UnSafeArray[16] = "create";
            UnSafeArray[17] = "insert";
            UnSafeArray[18] = "master.dbo";
            UnSafeArray[19] = ";--";
            UnSafeArray[20] = "--";
            UnSafeArray[21] = "1=";
            foreach (string s in UnSafeArray)
            {
                if (p.ToLower().IndexOf(s) > -1)
                {
                    ret = false;
                    break;
                }
            }
            return ret;
        }
    }
    public class Common
    {
        public static string InputText(string text)
        {
            text = text.Trim();
            if (string.IsNullOrEmpty(text))
                return string.Empty;
            text = Regex.Replace(text, "[//s]{2,}", " ");    //two or more spaces
            text = Regex.Replace(text, "(<[b|B][r|R]/*>)+|(<[p|P](.|//n)*?>)", "/n");    //<br>
            text = Regex.Replace(text, "( //s*&[n|N][b|B][s|S][p|P];//s*)+", " ");    //&nbsp;
            text = Regex.Replace(text, "<(.|//n)*?>", string.Empty);    //any other tags
            text = text.Replace("'", "''");
            text = text.Replace("xp_cmdshell", "");
            text = text.Replace("exec master.dbo.xp_cmdshell", "");
            text = text.Replace("net localgroup administrators", "");
            text = text.Replace("delete from", "");
            text = text.Replace("net user", "");
            text = text.Replace("/add", "");
            text = text.Replace("drop table", "");
            text = text.Replace("update", "");
            return text;
        }
    }
}
 
 
sql通用防注入源码
07-07
sql通用防注入,下载后做简单修改就可以使用。
ASP.NET防止SQL注入的方法示例
01-20
在ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
SQL通用防注入程序
07-31 161
SQL通用防注入程序 v3.1 最终纪念版 http://js.down.chinaz.com/Z2006O999/ÆäËüÀà±ð/FySqlX3.1.rar 用这个吧``里面有使用说明``很简单的`` neeao.txt文件里有说明,使用方法很简单,, 只要在需要防注入的页面头部用 <!--#Include File="Neeao_SqlIn.Asp"-...
.NetSQL注入代码的实现方法
weixin_33755557的博客
11-03 144
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。下面说下网站防注入的几点要素。一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。二:如果用SQL语句,那就使用参数化,添加Param三:尽可能的使用存储过程,安全性能高...
.NET预防SQL注入的简易代码
touhousonic的博客
08-09 278
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text.RegularExpressions;public class AliceSqlFilter {/// <summary> /// 检查 /// </summary> /// <para
c#.net全站防止SQL注入类的代码
10-27
以下是一个使用C# .NET编写的防止SQL注入的类,名为`SqlChecker`。 `SqlChecker`类主要包含以下几个部分: 1. **构造函数**:类提供了三个构造函数,它们接收HttpRequest和HttpResponse对象,用于处理HTTP请求和...
ASP.NET SQL防注入程序封闭类
03-16
内容索引:.NET源码,其它类别,SQL防注 一个C#防SQL注入程序,已经封装,使用方便,Access或 MSSQL2000 都可以使用,大多数和MSSQL配合使用,在此增加了MSSQL关键字,使用时将此代码放到数据库连接代码处即可,和ASP...
.Netsql注入的几种方法
10-16
针对.NET平台,为了防止这种攻击,本文将介绍几种有效的防SQL注入方法,并通过示例代码的方式,帮助开发者理解和掌握这些防御技巧。 首先,我们来探讨服务端对前端传过来的参数值进行类型验证的重要性。类型验证的...
.netSQL注入实用代码案例
09-26
要防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
360_safe3通用XSS/SQL防注入代码(ASP/PHP/C#ASP.NET
09-06
360_safe3通用XSS/SQL防注入代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
常用的sql防注入代码
05-16
常用的sql防注入代码常用的sql防注入代码常用的sql防注入代码常用的sql防注入代码
最新ASP通用防SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用防SQL注入代码。 很简洁也很好用.和大家分享.
sql防注入代码
weixin_30539835的博客
08-27 114
function defend_sql($string, $force = 1) { $preg = "select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile"; if(!get_magic_quotes_gpc() || $force) { ...
sql通用防注入代码
rztyfx的专栏
11-20 1657
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
简单实用的SQL通用防注入代码
DataBase
07-19 2264
功能简单说明:1.自动获取页面所有参数,无需手工定义参数名.2.提供三种错误处理方式供选择.   (1).提示信息.  (2).转向页面.  (3).提示信息,再转向页面.3.自定义转向页面.使用方法很简单,只需要在ASP页面头部插入代码 包含 Fy_SqlX.Asp 就可以了~~简单实用将以下代码拷贝,别存为Fy_SqlX.AspDim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_C
通用ASP Sql防注入代码
weixin_30391339的博客
01-17 147
通用ASP Sql防注入代码 如果已经是大量直接使用Request方法来获取参数,要另写个过滤函数来代替Request方法,改动面积就大了而且怕遗漏,那么就在需要检查的页面include该方法进来执行了。 建议把调用该方法检查的位置放在数据库打开函数里面。因为注入是在数据库上发生的 如:Sub DbOpen() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值