NetCode5 api 防止SQL注入

于 2021-07-02 10:20:21 发布
阅读量649 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35978045/article/details/118406586
这篇博客介绍了一个用于防止SQL注入的拦截器实现。`SqlFilter`类继承自`ActionFilterAttribute`,在HTTP的GET和POST请求中检查参数,通过`ProcessSqlStr`方法分析用户输入,避免含有SQL关键字的数据进入数据库。当检测到潜在的SQL注入时,返回错误信息。此方法有助于增强应用程序的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


    /// <summary>
    /// SQL 注入拦截
    /// </summary>
    public class SqlFilter : ActionFilterAttribute
    {
  

        public override void OnActionExecuting(ActionExecutingContext context)
        {
            bool b = false;
            try
            { 
                if (context.HttpContext.Request.Method == "GET")
                {
                    var arguments =  context.ActionArguments;
                    foreach (var item in  arguments)
                    { 
                            if (!ProcessSqlStr(item.Value.ToString(), 1))
                            {
                                b = true;
                                break;
                            } 
                    }
                }
                else if (context.HttpContext.Request.Method == "POST")
                {
                    var arguments = context.ActionArguments;
                    foreach (var item in arguments)
                    {

                        if (item.Value == null) 
                        {
                            continue;
                        }
                        var type =  item.Value.GetType();
                        // 拼接在URL的 参数 
                        if (type.FullName == "System.String")
                        {
                            if (!ProcessSqlStr(item.Value.ToString(), 1))
                            {
                                b = true;
                                break;
                            }
                        }
                        else 
                        {
                            var properties = item.Value.GetType().GetProperties(BindingFlags.Public | BindingFlags.Instance);
                            // 用实体参数传数的
                            if (properties != null && properties.Length > 0)
                            {
                                foreach (var p in properties)
                                {
                                    var val = p.GetValue(item.Value, null);
                                    if (!ProcessSqlStr(val.ToString(), 1))
                                    {
                                        b = true;
                                        break;
                                    }

                                }
                            }
                            else
                            {
                                // 拼接在URL的
                                if (!ProcessSqlStr(item.Value.ToString(), 1))
                                {
                                    b = true;
                                    break;
                                }
                            }
                        }

                    }
                }
 
            }
            catch (Exception e)
            {
                // 错误处理: 处理用户提交信息!
                Logger<SqlFilter>.Error("SQL注入拦截异常", e);
            }
            if (b)
            {
                context.Result = new JsonResult(ResultMsg<object>.GetErrorMsg("非法参数"));
            }
            else
            {
                base.OnActionExecuting(context);
            } 
        }
         


        ////<summary>
        /// 分析用户请求是否正常
        ///</summary>
        ///<param name="Str">传入用户提交数据</param>
        ///<returns>返回是否含有SQL注入式攻击代码</returns>
        private   bool ProcessSqlStr(string Str, int type)
        {
            string SqlStr;

            if (type == 1)
                SqlStr = "exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare";
            else
                SqlStr = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";

            bool ReturnValue = true;
            try
            {
                if (Str != "")
                {
                    Str = Str.Trim().ToLower();
                    string[] anySqlStr = SqlStr.Split('|');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.IndexOf(ss) >= 0)
                        {
                            ReturnValue = false;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }

配置拦截器

陈源荣
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值