이 글은 기계 번역의 미러 문서이며, 원본 기사로 바로 이동하려면 여기를 클릭해 주세요.

Architect_Programmer_Code 농업 네트워크»건축가 프로그래밍 .Net/C # C#. .NET 사용법: SQL 인젝션 공격 방지
보기: 17354|회답: 0

[윈폼] C#. .NET 사용법: SQL 인젝션 공격 방지

[링크 복사]
게시됨 2015. 4. 19. 오후 11:32:01 | | |
  1. #region  防止sql注入式攻击(可用于UI层控制)
  2.   
  3.    ///
  4.    ///  判断字符串中是否有SQL攻击代码
  5.    ///
  6.    ///  传入用户提交数据
  7.    ///  true-安全;false-有注入攻击现有;
  8.    public   bool  ProcessSqlStr( string  inputString)
  9.      {
  10.       string  SqlStr  =   @"
  11. and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net
  12. +localgroup +administrators " ;
  13.         try
  14.           {
  15.             if  ((inputString  !=   null )  &&  (inputString  !=  String.Empty))
  16.               {
  17.                 string  str_Regex  =   @" \b( "   +  SqlStr  +   @" )\b " ;
  18.   
  19.                Regex Regex  =   new  Regex(str_Regex, RegexOptions.IgnoreCase);
  20.                 // string s = Regex.Match(inputString).Value;
  21.                 if  ( true   ==  Regex.IsMatch(inputString))
  22.                     return   false ;
  23.   
  24.           }
  25.       }
  26.        catch
  27.          {
  28.            return   false ;
  29.       }
  30.        return   true ;
  31.   }


  34.    ///
  35.   ///  处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行
  36.   ///  System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,
  37.   ///  在Web.Config文件时里面添加一个 ErrorPage 即可
  38.   ///
  39.   ///     
  40.   ///  
  41.   public   void  ProcessRequest()
  42.     {
  43.        try
  44.          {
  45.            string  getkeys  =   "" ;
  46.            string  sqlErrorPage  =  System.Configuration.ConfigurationSettings.AppSettings[ " ErrorPage " ].ToString();
  47.           if  (System.Web.HttpContext.Current.Request.QueryString  !=   null )
  48.             {

  50.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.QueryString.Count; i ++ )
  51.                 {
  52.                   getkeys  =  System.Web.HttpContext.Current.Request.QueryString.Keys;
  53.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
  54.                       {
  55.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  56.                      System.Web.HttpContext.Current.Response.End();
  57.                  }
  58.              }
  59.          }
  60.           if  (System.Web.HttpContext.Current.Request.Form  !=   null )
  61.             {
  62.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.Form.Count; i ++ )
  63.                   {
  64.                    getkeys  =  System.Web.HttpContext.Current.Request.Form.Keys;
  65.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
  66.                       {
  67.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  68.                        System.Web.HttpContext.Current.Response.End();
  69.                    }
  70.                }
  71.            }
  72.        }
  73.         catch
  74.           {
  75.             //  错误处理: 处理用户提交信息!
  76.        }
  77.    }
  78.    #endregion
코드 복사
우리의 해결책은 다음과 같습니다:
첫째, UI에 입력할 때, SQL 인젝션 공격을 방지하기 위해 데이터의 유형과 길이를 제어하기 위해 시스템은 인젝션 공격을 감지하는 기능을 제공합니다. 인젝션 공격이 감지되면 데이터를 제출할 수 없습니다;
2. 비즈니스 로직 계층 제어: 메서드 내에서 SQL 키워드를 특정 방식으로 차단하고, SQL 제출 시 SQL 데이터베이스 주입 공격 코드가 없는지 데이터 길이를 확인하며; 하지만 이 처리 후에는 UI 출력에서 마스크 처리된 문자가 복원됩니다. 따라서 시스템은 문자를 보호하는 기능과 문자를 복원하는 기능을 제공합니다.
3. 데이터 접근 계층에서는 대부분의 데이터가 저장 프로시저에 의해 접근되며, 저장 프로시저 매개변수는 호출 시 접근되어 인젝션 공격도 방지합니다.







이전의:성능 최적화 ASP.NET 맞춤 파일 캐시를 구축하세요
다음:c#과 asp.net 는 SQL 주입 필터링 방법을 방지합니다

관련 게시물
면책 조항:
Code Farmer Network에서 발행하는 모든 소프트웨어, 프로그래밍 자료 또는 기사는 학습 및 연구 목적으로만 사용됩니다; 위 내용은 상업적 또는 불법적인 목적으로 사용되지 않으며, 그렇지 않으면 모든 책임이 사용자에게 부담됩니다. 이 사이트의 정보는 인터넷에서 가져온 것이며, 저작권 분쟁은 이 사이트와는 관련이 없습니다. 위 내용은 다운로드 후 24시간 이내에 컴퓨터에서 완전히 삭제해야 합니다. 프로그램이 마음에 드신다면, 진짜 소프트웨어를 지원하고, 등록을 구매하며, 더 나은 진짜 서비스를 받아주세요. 침해가 있을 경우 이메일로 연락해 주시기 바랍니다.
Mail To:help@itsvse.com