本文介绍了一种在ASP.NET中使用Global.asax文件的Application_BeginRequest方法来防止SQL注入攻击的方法。通过遍历并过滤POST和GET请求中的不安全字符,确保应用程序的安全。
防sql注入是每个开发人员都要考滤的问题asp.net有个Global.asax文件,有一个Application_BeginRequest方法(应用启动获取)就是当获取到参数时触发的事件;这里就是网站页面每次提交时都要经过的事件;在这里做防注入就一下子卡住入口了
protected void Application_BeginRequest(Object sender, EventArgs e)
{
//遍历Post参数,隐藏域除外
foreach (string i in this.Request.Form)
{
//输出
}
//遍历Get参数。
foreach (string i in this.Request.QueryString)
{
//输出
}
}
/*这样就可以遍历出页面提交上来的所有的参数;里面只写了一个“//输出”,没有写代码出来,大家可以写repsonse.write输出来看看,尝试一下;我们只需对这些参数进行过滤,如果存在不安全字符,直接跳转就走行了;
也可以加过滤 */
public static string DelSQLStr(string str)
{
if(str == null || str == "")
return "";
str = str.Replace(";","");
str = str.Replace("'","");
str= str.Replace("&","");
str= str.Replace("%20","");
str= str.Replace("--","");
str= str.Replace("==","");
str= str.Replace("<","");
str= str.Replace(">","");
str= str.Replace("%","");
return str;
}
{
//遍历Post参数,隐藏域除外
foreach (string i in this.Request.Form)
{
//输出
}
//遍历Get参数。
foreach (string i in this.Request.QueryString)
{
//输出
}
}
/*这样就可以遍历出页面提交上来的所有的参数;里面只写了一个“//输出”,没有写代码出来,大家可以写repsonse.write输出来看看,尝试一下;我们只需对这些参数进行过滤,如果存在不安全字符,直接跳转就走行了;
也可以加过滤 */
public static string DelSQLStr(string str)
{
if(str == null || str == "")
return "";
str = str.Replace(";","");
str = str.Replace("'","");
str= str.Replace("&","");
str= str.Replace("%20","");
str= str.Replace("--","");
str= str.Replace("==","");
str= str.Replace("<","");
str= str.Replace(">","");
str= str.Replace("%","");
return str;
}
扫一扫
235
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
