发布一个.NET下防止SQL注入的类[转&未测试]

SQL注入防护模块
转载 于 2006-07-01 22:47:00 发布 · 45 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Apollo/archive/2006/07/01/440590.html

本文介绍了一个用于防范SQL注入攻击的HTTP模块实现。该模块通过分析用户的请求参数来判断是否存在潜在的SQL注入风险,并在发现风险时重定向到自定义错误页面。

/*
csc.exe /t:library SqlstrAny.cs /r:C:\windows\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.dll
 */
using System;
using System.Web;
namespace Theme.Script
{
 public class SqlstrAny : IHttpModule
 {
  public void Init(HttpApplication application)
  {
   application.BeginRequest += (new
    EventHandler(this.Application_BeginRequest));
  }
  private void Application_BeginRequest(Object source, EventArgs e)
  {
   //HttpApplication Application = (HttpApplication)source;
   //HttpResponse Response=Application.Context.Response;
   //Response.Write("<h1>Beginning of Request</h1><hr>");
   ProcessRequest pr = new ProcessRequest();
   pr.StartProcessRequest();
  }     
  public void Dispose()
  {
  }
 }

 public class ProcessRequest
 {
  #region SQL注入式攻击代码分析
  /// <summary>
  /// 处理用户提交的请求
  /// </summary>
  public void StartProcessRequest()
  {
   try
   {
    string getkeys = "";
    string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
    if (System.Web.HttpContext.Current.Request.QueryString != null)
    {
    
     for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
     {
      getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
      if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
      {
       System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
       System.Web.HttpContext.Current.Response.End();
      }
     }
    }
    if (System.Web.HttpContext.Current.Request.Form != null)
    {
     for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
     {
      getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
      if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
      {
       System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
       System.Web.HttpContext.Current.Response.End();
      }
     }
    }
   }
   catch
   {
    // 错误处理: 处理用户提交信息!
   }
  }
  /// <summary>
  /// 分析用户请求是否正常
  /// </summary>
  /// <param name="Str">传入用户提交数据</param>
  /// <returns>返回是否含有SQL注入式攻击代码</returns>
  private bool ProcessSqlStr(string Str)
  {
   bool ReturnValue = true;
   try
   {
    if (Str != "")
    {
     string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
     string[] anySqlStr = SqlStr.Split('|');
     foreach (string ss in anySqlStr)
     {
      if (Str.IndexOf(ss)>=0)
      {
       ReturnValue = false;
      }
     }
    }
   }
   catch
   {
    ReturnValue = false;
   }
   return ReturnValue;
  }
  #endregion
 }

}

转载于:https://www.cnblogs.com/Apollo/archive/2006/07/01/440590.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值