asp.net 防止sql 攻击全站做法

最新推荐文章于 2025-08-15 17:23:40 发布

转载最新推荐文章于 2025-08-15 17:23:40 发布 · 538 阅读

文章标签：

#asp.net #sql #string #application #insert #delete

本文介绍了一种在ASP.NET应用程序中防止SQL注入攻击的方法。通过在Global.aspx文件中实现SQL注入过滤器函数，可以检查并阻止恶意输入。该过滤器会扫描HTTP请求中的GET和POST参数，确保它们不含特定的SQL关键字。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在Global.aspx中加入下面

/**//// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要过滤的字符串</param> /// <returns>如果参数存在不安全字符，则返回true</returns> public static bool SqlFilter2(string InText) ...{ string word="and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join|'"; if(InText==null) return false; foreach(string i in word.Split('|')) ...{ if((InText.ToLower().IndexOf(i+" ")>-1)||(InText.ToLower().IndexOf(" "+i)>-1)) ...{ return true; } } return false; }

protected void Application_BeginRequest(Object sender, EventArgs e) ...{ //遍历Post参数，隐藏域除外 foreach(string i in this.Request.Form) ...{ if(i=="__VIEWSTATE")continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach(string i in this.Request.QueryString) ...{ this.goErr(this.Request.QueryString[i].ToString()); } } /**//// <summary> /// 校验参数是否存在SQL字符 /// </summary> /// <param name="tm"></param> private void goErr(string tm) ...{ string Errorpage = System.Configuration.ConfigurationSettings.AppSettings["SqlErrorpage"].ToString(); if(HuTong.BaseClass.SqlFilter2(tm)) this.Response.Redirect(Errorpage); }