Global.asax sql防注入
来源:互联网 发布:erp数据库设计 编辑:程序博客网 时间:2024/05/01 00:42
可能不大专业 我觉得如果用参数化查询的话 应该能有效的避免注入攻击吧
传说中的sql注入攻击
string sql = "SELECT * FROM 表名 WHERE [Name] = '" + "' or 1=1;DROP TABLE ... --" + "'";
=---------------------在Global.asax文件中添加---------------
void Application_Beginrequest(object sender, EventArgs e)
{
StartProcessRequest();
}
#region SQL注入式攻击代码分析
/// <summary>
/// 处理用户提交的请求
/// </summary>
private void StartProcessRequest()
{
try
{
string getkeys = "";
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (getkeys == "__VIEWSTATE") continue;
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
jcFAQApp.FAQ_Util.Log.WriteMessage("<font color:red>注入攻击</red>", System.Web.HttpContext.Current.Request.UserHostAddress.ToString());
System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
}
}
/// <summary>
/// 分析用户请求是否正常
/// </summary>
/// <param name="Str">传入用户提交数据 </param>
/// <returns>返回是否含有SQL注入式攻击代码 </returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str.Trim() != "")
{
//string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";
string SqlStr = "exec ¦insert ¦select ¦delete ¦update ¦mid ¦master ¦truncate ¦declare";
string[] anySqlStr = SqlStr.Split('¦');
foreach (string ss in anySqlStr)
{
if (Str.ToLower().IndexOf(ss) >= 0)
{
ReturnValue = false;
break;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
- Global.asax sql防注入
- 一种通用防SQL注入漏洞程序(Global.asax方式)
- Global.asax.cs防注入问题
- Global.asax.cs防注入问题
- ASP.NET 修改Global.asax文件,防SQL注入式攻击
- .net通用防SQL注入漏洞程序(Global.asax方式)详细用法
- .net通用防SQL注入漏洞程序(Global.asax方式)详细用法
- 在Global.asax文件里实现通用防SQL注入漏洞程序
- 通过添加Global.asax防止SQL注入
- Asp.net中Global.asax设置防止Sql注入
- 在Gobal.asax文件中实现通用防sql注入漏洞程序
- GLOBAL.ASAX
- Global.asax
- Global.asax
- Global.asax
- Global.asax
- global.asax
- Global.asax
- 我的同事们(五): Liang Chen
- Key-Value Coding (KVC) and Generic Programming
- 去掉你的书呆子气 (摘自《青年怎样适应社会》)
- 非有序全排列生成算法集锦
- convert RGB to HLS
- Global.asax sql防注入
- .Net多线程总结
- 非有序全排列生成算法
- 两种方法改变信号的值【只是两种语法】
- 书呆子气
- PowerDesigner教程系列
- fedora 8 named.conf文件配置
- IP Networking Control Files
- Table.Rows.Remove(dr)和Table.Delete()的区别