.Net程序中整站通用的防SQL注入函数
来源:互联网 发布:犀牛手机设计软件 编辑:程序博客网 时间:2024/05/29 14:38
防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。
做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。
一、数据验证类:
parameterCheck.cs
publicclassparameterCheck{
publicstaticboolisEmail(stringemailString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(emailString,"['//w_-]+(//.['//w_-]+)*@['//w_-]+(//.['//w_-]+)*//.[a-zA-Z]{2,4}");
}
publicstaticboolisInt(stringintString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(intString,"^(//d{5}-//d{4})|(//d{5})$");
}
publicstaticboolisUSZip(stringzipString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(zipString,"^-[0-9]+$|^[0-9]+$");
}
}
二、Web.config
在你的Web.config文件中,在<appSettings>下面增加一个标签:如下
<appSettings>
<addkey="safeParameters"value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip"/>
</appSettings>
其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段:
protectedvoidApplication_BeginRequest(Objectsender,EventArgse){
String[]safeParameters=System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
for(inti=0;i<safeParameters.Length;i++){
StringparameterName=safeParameters[i].Split('-')[0];
StringparameterType=safeParameters[i].Split('-')[1];
isValidParameter(parameterName,parameterType);
}
}
publicvoidisValidParameter(stringparameterName,stringparameterType){
stringparameterValue=Request.QueryString[parameterName];
if(parameterValue==null)return;
if(parameterType.Equals("int32")){
if(!parameterCheck.isInt(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("double")){
if(!parameterCheck.isDouble(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("USzip")){
if(!parameterCheck.isUSZip(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("email")){
if(!parameterCheck.isEmail(parameterValue))Response.Redirect("parameterError.aspx");
}
}
以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。
- .Net程序中整站通用的防SQL注入函数
- 通用ASP的sql防注入程序
- 编写通用的sql防注入程序
- jsp的防sql注入通用程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 如何编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 如何编写通用的ASP防SQL注入攻击程序
- 编写通用的ASP防SQL注入攻击程序
- 商业斗争下的蛋----SOA业务开发平台(四)
- 天书夜读:从汇编语言到Windows内核编程
- 【zz】我作RESEARCH的几点体会
- J2ee常见性能瓶颈
- 在Windows2003下搭建FTP服务器
- .Net程序中整站通用的防SQL注入函数
- 照片书后台
- Main函数详解
- SQL分页的存储过程详解
- 软件开发模式
- 安全漏洞追踪
- 101个微软提供的Visual Studio 2005示例
- Apache设置自动启动
- 大型软件公司.net面试题!一定得看(附答案)