c#.net全站防止SQL注入类的代码

04512

c#.net全站防止SQL注入类的代码,需要的朋友可以参考一下

闲言碎语先不谈,上代码,

我这个是在Web项目,首先先创建SqlChecker类,用于校验前端传到后台所有请求中的过滤

using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace Web { public class SqlChecker { //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse response; //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面 private string safeUrl = String.Empty; //Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由|分隔开来 //private const string StrKeyWord = @”select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|””|or|and”; private const string StrKeyWord = @”select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and”; //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由|分隔开来 private const string StrRegex = @”-|;|,|/|(|)|[|]|}|{|%|@|*|!|”; //private const string StrRegex = @”=|!|”; public SqlChecker() { // // TODO: 在此处添加构造函数逻辑 // } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上 /// </summary> /// <param name=”_request”>当前请求的 Request 对象</param> /// <param name=”_response”>当前请求的 Response 对象</param> public SqlChecker(HttpRequest _request, HttpResponse _response) { this.request = _request; this.response = _response; } /// <summary> /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上 /// </summary> /// <param name=”_request”>当前请求的 Request 对象</param> /// <param name=”_response”>当前请求的 Response 对象</param> /// <param name=”_safeUrl”>验证Sql注入之后将导向的安全 url</param> public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl) { this.request = _request; this.response = _response; this.safeUrl = _safeUrl; } /// <summary> /// 只读属性 SQL关键字 /// </summary> public string KeyWord { get { return StrKeyWord; } } /// <summary> /// 只读属性过滤特殊字符 /// </summary> public string RegexString { get { return StrRegex; } } /// <summary> /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本) /// </summary> public string Msg { get { string msg = “<script type=text/javascript> “ + ” alert(请勿输入非法字符!); “; if (this.safeUrl == String.Empty) msg += ” window.location.href = “ + request.RawUrl + “”; else msg += ” window.location.href = “ + safeUrl + “”; msg += “</script>”; return msg; } } /// <summary> /// 检查URL参数中是否带有SQL注入的可能关键字。 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestQuery() { bool result = false; if (request.QueryString.Count != 0) { //若URL中参数存在,则逐个检验参数。 foreach (string queryName in this.request.QueryString) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == “__VIEWSTATE” || queryName == “__EVENTVALIDATION”) continue; //开始检查请求参数值是否合法 if (CheckKeyWord(request.QueryString[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查提交表单中是否存在SQL注入的可能关键字 /// </summary> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckRequestForm() { bool result = false; if (request.Form.Count > 0) { //若获取提交的表单项个数不为0,则逐个比较参数 foreach (string queryName in this.request.Form) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == “__VIEWSTATE” || queryName == “__EVENTVALIDATION”) continue; //开始检查提交的表单参数值是否合法 if (CheckKeyWord(request.Form[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// <summary> /// 检查_sword是否包涵SQL关键字 /// </summary> /// <param name=”_sWord”>需要检查的字符串</param> /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns> public bool CheckKeyWord(string _sWord) { bool result = false; //模式1 : 对应Sql注入的可能关键字 string[] patten1 = StrKeyWord.Split(|); //模式2 : 对应Sql注入的可能特殊符号 string[] patten2 = StrRegex.Split(|); //开始检查 模式1:Sql注入的可能关键字 的注入情况 foreach (string sqlKey in patten1) { if (_sWord.IndexOf(” “ + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + ” “) >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } //开始检查 模式1:Sql注入的可能特殊符号 的注入情况 foreach (string sqlKey in patten2) { if (_sWord.IndexOf(sqlKey) >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } return result; } /// <summary> /// 执行Sql注入验证 /// </summary> public void Check() { if (CheckRequestQuery() || CheckRequestForm()) { response.Write(Msg); response.End(); } } } }

创建好SqlChecker后,就要考虑在那个地方使用。

下面说全局性设置使用:

在Global.asax.cs中找到Application_BeginRequest,如果找不到Global.asax 也可Ctrl+F进行搜索,

范围可以选择【整个解决方案】点击→进行查找。

具体代码如下:

protected void Application_BeginRequest(object sender, EventArgs e) { SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check(); }
局部性设置使用,在具体的Colltroller的方法里加入:SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check();

以上就是C#.net防止SQL注入的代码,如果有些关键字和特殊符号不想加在过滤中可以自定义SqlChecker类的StrKeyWord变量和StrRegex变量

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
网站百科
喜欢就支持一下吧
点赞12 分享
花花的头像-花花博客
转自某撸网的薅羊毛自动采集系统源码搭建测评-花花博客
转自某撸网的薅羊毛自动采集系统源码搭建测评
转自某撸网的薅羊毛自动采集系统源码搭建测评
1年前 4694
装修公司模板php源码带后台_小兵装修cms颠覆你想象-花花博客
装修公司模板php源码带后台_小兵装修cms颠覆你想象
装修公司模板php源码带后台_小兵装修cms颠覆你想象
1年前 4658
光之三重乐,谱写生活新华彩 – 飞利浦三重乐智能LED吸顶灯全新上市-花花博客
光之三重乐,谱写生活新华彩 – 飞利浦三重乐智能LED吸顶灯全新上市
光之三重乐,谱写生活新华彩 – 飞利浦三重乐智能LED吸顶灯全新...
1年前 4368
类高铁全封闭大侧窗 招牌48V电路系统 趣蜂B810商旅两相宜-花花博客
类高铁全封闭大侧窗 招牌48V电路系统 趣蜂B810商旅两相宜
类高铁全封闭大侧窗 招牌48V电路系统 趣蜂B810商旅两相宜
1年前 3960
淘宝客返利机器人源码编写教程-花花博客
淘宝客返利机器人源码编写教程
淘宝客返利机器人源码编写教程
1年前 3936
如何在Android系统下开发一个基于WiFi的P2P聊天软件?-花花博客
如何在Android系统下开发一个基于WiFi的P2P聊天软件?
如何在Android系统下开发一个基于WiFi的P2P聊天软件?
1年前 2799
相关推荐
如何在Android系统下开发一个基于WiFi的P2P聊天软件?-花花博客
如何在Android系统下开发一个基于WiFi的P2P聊天软件?
如何在Android系统下开发一个基于WiFi的P2P聊天软件?
1年前 2799
淘宝客APP定制开发源码搭建返利商城模式-花花博客
淘宝客APP定制开发源码搭建返利商城模式
淘宝客APP定制开发源码搭建返利商城模式
1年前 207
新春走基层丨新春不停工!只为2023年中关村论坛在新址精彩绽放-花花博客
新春走基层丨新春不停工!只为2023年中关村论坛在新址精彩绽放
新春走基层丨新春不停工!只为2023年中关村论坛在新址精彩绽放
1年前 190
西城文化十二月令发布:主题月月不同 精彩时时常有-花花博客
西城文化十二月令发布:主题月月不同 精彩时时常有
西城文化十二月令发布:主题月月不同 精彩时时常有
1年前 165
震惊!如何让旅游访问量不断up,原来用这个方法……(认真脸)-花花博客
震惊!如何让旅游访问量不断up,原来用这个方法……(认真脸)
震惊!如何让旅游访问量不断up,原来用这个方法……(认真脸)
1年前 126
PS教程:制作个性gif动画签名和 头像-花花博客
PS教程:制作个性gif动画签名和 头像
PS教程:制作个性gif动画签名和 头像
1年前 120
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片