时间:2021-05-28
防sql注入的常用方法:
1、服务端对前端传过来的参数值进行类型验证;
2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接;
3、服务端对前端传过来的数据进行sql关键词过来与检测;
着重记录下服务端进行sql关键词检测:
1、sql关键词检测类:
SqlInjectHelper类中,对request的query参数和form参数进行的检测,没有对cookie的检测,如有需要,可自行加上;
2、SqlInjectHelper在哪调用呢?
1)、如果想对整个web站点的所有请求都做sql关键字检测,那就在Global.asax 的 Application_BeginRequest方法中调用;
protected void Application_BeginRequest(object sender, EventArgs e) { SqlInjectHelper myCheck = new SqlInjectHelper(Request); bool result = myCheck.CheckSqlInject(); if (result) { Response.ContentType = "text/plain"; Response.Write("您提交的数据有恶意字符!"); Response.End(); } }2)、如果只需对某个接口文件的接口进行sql关键字检测,那只需在该文件开始处调用SqlInjectHelper类即可;
public class Handler1 : IHttpHandler { public void ProcessRequest(HttpContext context) { SqlInjectHelper myCheck = new SqlInjectHelper(context.Request); bool result = myCheck.CheckSqlInject(); context.Response.ContentType = "text/plain"; context.Response.Write(result?"您提交的数据有恶意字符!":""); context.Response.StatusCode = result ? 500 : 200; } public bool IsReusable { get { return false; } } }上面的代码就是对某个一般处理程序(ashx)添加了sql关键字检测;
3、补充说明:asp.net中的 __VIEWSTATE、__EVENTVALIDATION、
在sql关键字检测方法中,排除了__VIEWSTATE、__EVENTVALIDATION这两个参数;
1)、__VIEWSTATE
ViewState是ASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。
ViewState是类Control中的一个域,其他所有控件通过继承Control来获得了ViewState功能。它的类型是system.Web.UI.StateBag,一个名称/值的对象集合。
当请求某个页面时,ASP.NET把所有控件的状态序列化成一个字符串,然后做为窗体的隐藏属性送到客户端。当客户端把页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值;
2)、__EVENTVALIDATION
__EVENTVALIDATION只是用来验证事件是否从合法的页面发送,只是一个数字签名,所以一般很短。
“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.;
4、sql关键词检测的另一个版本:该版本将所有危险字符都放在了一个正则表达式中;
该类不仅检测了sql常用关键字还有xss攻击的常用关键字
public class SafeHelper { private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)"; public static bool PostData() { bool result = false; for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++) { result = CheckData(HttpContext.Current.Request.Form[i].ToString()); if (result) { break; } } return result; } public static bool GetData() { bool result = false; for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++) { result = CheckData(HttpContext.Current.Request.QueryString[i].ToString()); if (result) { break; } } return result; } public static bool CookieData() { bool result = false; for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++) { result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower()); if (result) { break; } } return result; } public static bool referer() { bool result = false; return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString()); } public static bool CheckData(string inputData) { if (Regex.IsMatch(inputData, StrRegex)) { return true; } else { return false; } } }总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧!1.URL地址防注入://过滤URL非法SQL字符varsUrl=l
例如:SQL注入攻击XSS攻击复制代码代码如下:任意执行代码文件包含以及CSRF.}关于SQL攻击有很多文章还有各种防注入脚本,但是都不能解决SQL注入的根本问
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替
本文实例讲述了ASP.NET防止SQL注入的方法。分享给大家供大家参考,具体如下:最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数
本文实例讲述了php简单实现sql防注入的方法。分享给大家供大家参考,具体如下:这里没有太多的过滤,主要是针对php和mysql的组合。一般性的防注入,只要使用