asp.net 全局sql注入处理 sql关键字过滤 global过滤sql
来源:互联网 发布:建行网络培训系统 编辑:程序博客网 时间:2024/06/05 14:06
asp.net 全局sql注入处理 sql关键字过滤 global
//当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse response; //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面 private string safeUrl = String.Empty; //Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来 //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and"; private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and"; //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来 //private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'"; private const string StrRegex = @"=|!|'"; public SqlChecker() { // // TODO: 在此处添加构造函数逻辑 // } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上 /// </summary> /// <param name="_request">当前请求的 Request 对象</param> /// <param name="_response">当前请求的 Response 对象</param> public SqlChecker(HttpRequest _request, HttpResponse _response) { this.request = _request; this.response = _response; } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上 /// </summary> /// <param name="_request">当前请求的 Request 对象</param> /// <param name="_response">当前请求的 Response 对象</param> /// <param name="_safeUrl">验证Sql注入之后将导向的安全 url</param> public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl) { this.request = _request; this.response = _response; this.safeUrl = _safeUrl; } /// <summary> /// 只读属性 SQL关键字 /// </summary> public string KeyWord { get { return StrKeyWord; } } /// <summary> /// 只读属性过滤特殊字符 /// </summary> public string RegexString { get { return StrRegex; } } /// <summary> /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本) /// </summary> public string Msg { get { string msg = "<script type='text/javascript'> " + " alert('请勿输入非法字符!'); "; if (this.safeUrl == String.Empty) msg += " window.location.href = '" + request.RawUrl + "'"; else msg += " window.location.href = '" + safeUrl + "'"; msg += "</script>"; return msg; } } /// <summary> /// 检查URL参数中是否带有SQL注入的可能关键字。 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestQuery() { bool result = false; if (request.QueryString.Count != 0) { //若URL中参数存在,则逐个检验参数。 foreach (string queryName in this.request.QueryString) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查请求参数值是否合法 if (CheckKeyWord(request.QueryString[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查提交表单中是否存在SQL注入的可能关键字 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestForm() { bool result = false; if (request.Form.Count > 0) { //若获取提交的表单项个数不为0,则逐个比较参数 foreach (string queryName in this.request.Form) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查提交的表单参数值是否合法 if (CheckKeyWord(request.Form[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查_sword是否包涵SQL关键字 /// </summary> /// <param name="_sWord">需要检查的字符串</param> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckKeyWord(string _sWord) { bool result = false; //模式1 : 对应Sql注入的可能关键字 string[] patten1 = StrKeyWord.Split('|'); //模式2 : 对应Sql注入的可能特殊符号 string[] patten2 = StrRegex.Split('|'); //开始检查 模式1:Sql注入的可能关键字 的注入情况 foreach (string sqlKey in patten1) { if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } //开始检查 模式1:Sql注入的可能特殊符号 的注入情况 foreach (string sqlKey in patten2) { if (_sWord.IndexOf(sqlKey) >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } return result; } /// <summary> /// 执行Sql注入验证 /// </summary> public void Check() { if (CheckRequestQuery() || CheckRequestForm()) { response.ContentEncoding = System.Text.Encoding.GetEncoding("GB2312"); //追加响应的头部信息,即文件名. response.Write(Msg); response.End(); } }
阅读全文
0 0
- asp.net 全局sql注入处理 sql关键字过滤 global过滤sql
- asp过滤SQL注入
- sql注入过滤处理
- asp.net防SQL注入参数过滤
- ASP.NET 实现SQL注入过滤
- 过滤关键字大全-网页关键字过滤-sql注入关键字过滤
- 过滤关键字大全-网页关键字过滤-sql注入关键字过滤
- C#(ASP.NET)正则表达式 过滤危险字符函数代码 防SQL注入 很全面的SQL关键字过滤
- asp.net防SQL/JS注入攻击:过滤标记
- asp.net中过滤非法字符防止SQL注入
- sql注入过滤
- SQL注入过滤
- sql注入过滤
- SQL过滤防注入
- sql注入过滤
- ASP最新SQL防注入过滤函数
- 过滤sql关键字
- 过滤SQL关键字方法
- Android 方法数超出 65536限制的解决方法
- react-router 从 v2/v3 to v4 迁移
- Tensorflow padding 大小转换公式
- python与自然语言处理(五):中文文本词云
- Java单元测试工具:JUnit4(三)——JUnit详解之运行流程及常用注解
- asp.net 全局sql注入处理 sql关键字过滤 global过滤sql
- EASYUI SPringMVC增删改查的前台页面
- Guava中的TypeToken,解决泛型运行时类型擦除的问题
- Spring-Session分布式集群会话管理
- 二分法查找(递归和非递归)
- 二叉树中和为某一值得路径
- 建设银行上海住房公积金业务网点
- 基于web的认证机制(session,auth,token,JWT,认证防止攻击等)
- vim配置文件