asp.net 全局sql注入处理 sql关键字过滤 global过滤sql

最新推荐文章于 2025-05-30 08:32:25 发布
原创 最新推荐文章于 2025-05-30 08:32:25 发布 · 2.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp.net #sql注入 #sql过滤 #netsql过滤

本文探讨了在ASP.NET中如何实现全局的SQL注入防护,通过设置全局过滤规则来防止恶意SQL关键字的使用,确保应用程序的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

asp.net 全局sql注入处理 sql关键字过滤 global

  //当前请求对象
        private HttpRequest request;
        //当前响应对象
        private HttpResponse response;
        //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面
        private string safeUrl = String.Empty;

        //Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来
        //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and";
        //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来
        //private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
        private const string StrRegex = @"=|!|'";
        public SqlChecker()
        {
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }
        /// <summary>
        /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上
        /// </summary>
        /// <param name="_request">当前请求的 Request 对象</param>
        /// <param name="_response">当前请求的 Response 对象</param>
        public SqlChecker(HttpRequest _request, HttpResponse _response)
        {
            this.request = _request;
            this.response = _response;
        }
        /// <summary>
        /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上
        /// </summary>
        /// <param name="_request">当前请求的 Request 对象</param>
        /// <param name="_response">当前请求的 Response 对象</param>
        /// <param name="_safeUrl">验证Sql注入之后将导向的安全 url</param>
        public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl)
        {
            this.request = _request;
            this.response = _response;
            this.safeUrl = _safeUrl;
        }
        /// <summary>
        /// 只读属性 SQL关键字
        /// </summary>
        public string KeyWord
        {
            get
            {
                return StrKeyWord;
            }
        }
        /// <summary>
        /// 只读属性过滤特殊字符
        /// </summary>
        public string RegexString
        {
            get
            {
                return StrRegex;
            }
        }
        /// <summary>
        /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本)
        /// </summary>
        public string Msg
        {
            get
            {
                string msg = "<script type='text/javascript'> "
                + " alert('请勿输入非法字符!'); ";

                if (this.safeUrl == String.Empty)
                    msg += " window.location.href = '" + request.RawUrl + "'";
                else
                    msg += " window.location.href = '" + safeUrl + "'";

                msg += "</script>";
                return msg;
            }
        }
        /// <summary>
        /// 检查URL参数中是否带有SQL注入的可能关键字。
        /// </summary>
        /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
        public bool CheckRequestQuery()
        {
            bool result = false;
            if (request.QueryString.Count != 0)
            {
                //若URL中参数存在,则逐个检验参数。
                foreach (string queryName in this.request.QueryString)
                {
                    //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
                    if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
                        continue;
                    //开始检查请求参数值是否合法
                    if (CheckKeyWord(request.QueryString[queryName]))
                    {
                        //只要存在一个可能出现Sql注入的参数,则直接退出
                        result = true;
                        break;
                    }
                }
            }
            return result;
        }
        /// <summary>
        /// 检查提交表单中是否存在SQL注入的可能关键字
        /// </summary>
        /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
        public bool CheckRequestForm()
        {
            bool result = false;
            if (request.Form.Count > 0)
            {
                //若获取提交的表单项个数不为0,则逐个比较参数
                foreach (string queryName in this.request.Form)
                {
                    //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
                    if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
                        continue;
                    //开始检查提交的表单参数值是否合法
                    if (CheckKeyWord(request.Form[queryName]))
                    {
                        //只要存在一个可能出现Sql注入的参数,则直接退出
                        result = true;
                        break;
                    }
                }
            }
            return result;
        }
        /// <summary>
        /// 检查_sword是否包涵SQL关键字
        /// </summary>
        /// <param name="_sWord">需要检查的字符串</param>
        /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
        public bool CheckKeyWord(string _sWord)
        {
            bool result = false;
            //模式1 : 对应Sql注入的可能关键字
            string[] patten1 = StrKeyWord.Split('|');
            //模式2 : 对应Sql注入的可能特殊符号
            string[] patten2 = StrRegex.Split('|');
            //开始检查 模式1:Sql注入的可能关键字 的注入情况
            foreach (string sqlKey in patten1)
            {
                if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0)
                {
                    //只要存在一个可能出现Sql注入的参数,则直接退出
                    result = true;
                    break;
                }
            }
            //开始检查 模式1:Sql注入的可能特殊符号 的注入情况
            foreach (string sqlKey in patten2)
            {
                if (_sWord.IndexOf(sqlKey) >= 0)
                {
                    //只要存在一个可能出现Sql注入的参数,则直接退出
                    result = true;
                    break;
                }
            }
            return result;
        }
        /// <summary>
        /// 执行Sql注入验证
        /// </summary>
        public void Check()
        {
            if (CheckRequestQuery() || CheckRequestForm())
            { 

                response.ContentEncoding = System.Text.Encoding.GetEncoding("GB2312");
                //追加响应的头部信息,即文件名. 
                response.Write(Msg);
                response.End();
            }
        }
asp.net 敏感关键字过滤
06-30
asp.net 过滤敏感关键字,带有一个过滤关键字列表,.net 3.0上可用。
ASP.NET 实现SQL注入过滤
10-25 3454
一、什么是SQL注入式攻击             所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:         ⑴ 某个ASP.NET Web应用
Webug4.0靶场通关笔记05- 第5关SQL注入过滤关键字
最新发布
mooyuan的网络安全博客
05-30 1143
本文通过《Webug4.0靶场通关笔记系列》来进行Webug4.0靶场的渗透实战,本文讲解Webug4.0靶场第5关过滤注入的渗透实战。
SQL注入
liaoxiaohua1981的专栏
07-18 701
asp.netSQL注入一:一个方法        ///         ///SQL注入过滤        ///         /// 要过滤的字符串        /// 如果参数存在不安全字符,则返回true        public static bool SqlFilter2(string InText)        {            string word =
ASP.NET SQL 注入解决方案
何足道也
10-17 1130
一个过滤类: /// ///SqlInject 的摘要说明 /// public class SqlInject : System.Web.UI.Page { //检测到注入后的处理方式: 0:仅警告;1:警告+记录;2:警告+自定义错误页面;3:警告+记录+自定义错误页面 private const int _type = 0; private
asp.net程序防止sql注入
张亚京
05-11 1258
好像是5月4号开始的吧,sql注入数据库泛滥,我们的数据库也一样中招:状况如下:“ > 以下是一个.net程序防止sql注入的方法,方式一如下:将下面的代码加入到Global.asax文件中:        ///    ///防止SQL注入    ///    ///    ///    void Application_BeginRequest(Object se
ASP.NET源码——通用防SQL注入漏洞程序(Global.asax方式).zip
10-10
ASP.NET中,Global.asax文件是一个特殊的应用程序全局事件处理程序,它允许开发者捕获和响应应用程序级别的事件,如请求开始、结束等。这个压缩包提供的源码是针对ASP.NET应用的通用防SQL注入漏洞程序,通过Global...
asp.net 防止SQL注入攻击
10-29
最后,Global.asax文件作为***应用程序的全局入口文件,承担着监听和处理应用程序级别的事件的任务。在Global.asax的Application_BeginRequest方法中,程序会遍历Web.config中定义的每一个安全参数(通过...
通用防SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
通过Global.asax文件进行全局SQL注入防护是ASP.NET应用安全策略的一个重要组成部分。结合其他安全措施,如输入验证、数据层保护,可以构建出更健壮的应用,有效抵御SQL注入攻击。记住,安全无小事,每个细节都关乎...
售后服务系统源码(asp.net+sqlserver).zip
03-23
本系统采用ASP.NET技术栈,结合SQL Server数据库,构建了一个高效、稳定且易维护的售后服务平台。以下是对该系统的技术细节进行的详细解析。 首先,ASP.NET是微软推出的一种用于构建Web应用程序的框架,它在.NET ...
asp.net全局拦截sql注入
04-17
### ASP.NET 中实现全局拦截以防止 SQL 注入攻击 在 ASP.NET 应用程序中,通过全局拦截的方式可以有效防范 SQL 注入攻击。这种方法的核心是在 `Global.asax` 文件中的 `Application_BeginRequest` 方法中加入逻辑,...
asp.netSQL注入过滤函数大集合
10-22
常用的asp.netSQL注入过滤函数大集合,实用性很高! 执行效率不错!
ASP.NET过滤SqlFilter,防止SQL注入 原创
10-22
本文分享一个防SQL注入过滤SqlFilter,可以防止通过POST、GET和Cookies的注入
Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)
10-27
可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
通用防SQL注入漏洞程序(Global.asax方式)
07-24
通用防SQL注入漏洞程序(Global.asax方式) 通用防SQL注入漏洞程序(Global.asax方式)
asp.netSQL注入参数过滤
HiNet
01-13 2294
//   //当有数据时交时,触发事件  //   //    //    protected void Application_BeginRequest(Object sender, EventArgs e) { //遍历Post参数,隐藏域除外  foreach (string i in this.Request.Form) { if (i == "__VIEWSTAT
.Net 全局过滤,防止SQL注入
灵感源于学习的博客
01-17 1815
防止SQL 注入、漏洞修复
.net通用防SQL注入漏洞程序(Global.asax方式)
weixin_30498807的博客
06-21 241
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。 本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查...
.net 过滤 sql注入类,省地以后每次都要重新弄!
weixin_34174422的博客
05-25 144
/// <summary> /// 过滤不安全的字符串 /// </summary> /// <param name="Str"></param> /// <returns></returns> public static string FilteSQLStr(string Str) {...
ASP.NET中实现简洁有效的SQL注入防护方法
本文件中的代码示例旨在提供一种基本的防御SQL注入攻击的方法,通过在应用程序开始处理请求时检查输入参数,并利用简单的关键字过滤机制来拒绝潜在的危险输入。然而,它也指出了这种防御方法的局限性,并强调了在ASP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值