Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Programmazione .Net/C # c# e asp.net prevenire metodi di filtraggio per iniezione SQL
Vista: 23797|Risposta: 2

[Interfaccia] c# e asp.net prevenire metodi di filtraggio per iniezione SQL

[Copiato link]
Pubblicato su 19/04/2015 23:54:16 | | | |


Io uso asp.net per le presentazioni, hehe

Codice della reception:
  1. <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="sqltest.aspx.cs" Inherits="TestWeb.sqltest" %>

  3. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

  5. <html xmlns="http://www.w3.org/1999/xhtml">
  6. <head runat="server">
  7.     <title></title>
  8. </head>
  9. <body>
  10.     <form id="form1" runat="server">
  11.     <div>
  12.         <asp:TextBox ID="txtsql" runat="server"></asp:TextBox>
  13.         <asp:Button ID="btnsql" runat="server" Text="注入" onclick="btnsql_Click" />
  14.     </div>
  15.     </form>
  16. </body>
  17. </html>
Copia codice
Codice di background:

  1. using System;
  2. using System.Collections.Generic;
  3. using System.Linq;
  4. using System.Web;
  5. using System.Web.UI;
  6. using System.Web.UI.WebControls;

  8. namespace TestWeb
  9. {
  10.     public partial class sqltest : System.Web.UI.Page
  11.     {
  12.         protected void Page_Load(object sender, EventArgs e)
  13.         {

  15.         }

  17.         protected void btnsql_Click(object sender, EventArgs e)
  18.         {
  19.             
  20.             if (zhuru.ProcessSqlStr(txtsql.Text))
  21.             {
  22.                 Response.Write("安全");
  23.             }
  24.             else {
  25.                 Response.Write("危险");
  26.             }
  27.         }
  28.     }
  29. }
Copia codice
zhuru.cs Codice di classe:
  1. using System;
  2. using System.Collections.Generic;
  3. using System.Linq;
  4. using System.Web;
  5. using System.Text.RegularExpressions;

  7. namespace TestWeb
  8. {
  9.     public class zhuru
  10.     {
  11.         
  12.         public static bool ProcessSqlStr(string inputString)
  13.         {
  14.             string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";
  15.             try
  16.             {
  17.                 if ((inputString != null) && (inputString != String.Empty))
  18.                 {
  19.                     string str_Regex = @"\b(" + SqlStr + @")\b";

  21.                     Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);
  22.                     //string s = Regex.Match(inputString).Value;
  23.                     if (true == Regex.IsMatch(inputString))
  24.                         return false;

  26.                 }
  27.             }
  28.             catch
  29.             {
  30.                 return false;
  31.             }
  32.             return true;
  33.         }

  35.     }
  36. }
Copia codice






Precedente:C#. .NET per prevenire attacchi di iniezione SQL
Prossimo:Come controllare il nome host di un indirizzo IP LAN noto

Post correlati
 Padrone di casa| Pubblicato su 07/02/2022 19:33:01 |
Le istruzioni SQL dinamiche di Java impediscono l'iniezione di database
https://www.itsvse.com/thread-10249-1-1.html
Pubblicato su 06/03/2022 10:40:43 |
Impara               
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com