Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Programmeren .Net/C # C#. .NET om SQL-injectieaanvallen te voorkomen
Bekijken: 17354|Antwoord: 0

[WinForm] C#. .NET om SQL-injectieaanvallen te voorkomen

[Link kopiëren]
Geplaatst op 19-04-2015 23:32:01 | | |
  1. #region  防止sql注入式攻击(可用于UI层控制)
  2.   
  3.    ///
  4.    ///  判断字符串中是否有SQL攻击代码
  5.    ///
  6.    ///  传入用户提交数据
  7.    ///  true-安全;false-有注入攻击现有;
  8.    public   bool  ProcessSqlStr( string  inputString)
  9.      {
  10.       string  SqlStr  =   @"
  11. and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net
  12. +localgroup +administrators " ;
  13.         try
  14.           {
  15.             if  ((inputString  !=   null )  &&  (inputString  !=  String.Empty))
  16.               {
  17.                 string  str_Regex  =   @" \b( "   +  SqlStr  +   @" )\b " ;
  18.   
  19.                Regex Regex  =   new  Regex(str_Regex, RegexOptions.IgnoreCase);
  20.                 // string s = Regex.Match(inputString).Value;
  21.                 if  ( true   ==  Regex.IsMatch(inputString))
  22.                     return   false ;
  23.   
  24.           }
  25.       }
  26.        catch
  27.          {
  28.            return   false ;
  29.       }
  30.        return   true ;
  31.   }


  34.    ///
  35.   ///  处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行
  36.   ///  System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,
  37.   ///  在Web.Config文件时里面添加一个 ErrorPage 即可
  38.   ///
  39.   ///     
  40.   ///  
  41.   public   void  ProcessRequest()
  42.     {
  43.        try
  44.          {
  45.            string  getkeys  =   "" ;
  46.            string  sqlErrorPage  =  System.Configuration.ConfigurationSettings.AppSettings[ " ErrorPage " ].ToString();
  47.           if  (System.Web.HttpContext.Current.Request.QueryString  !=   null )
  48.             {

  50.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.QueryString.Count; i ++ )
  51.                 {
  52.                   getkeys  =  System.Web.HttpContext.Current.Request.QueryString.Keys;
  53.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
  54.                       {
  55.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  56.                      System.Web.HttpContext.Current.Response.End();
  57.                  }
  58.              }
  59.          }
  60.           if  (System.Web.HttpContext.Current.Request.Form  !=   null )
  61.             {
  62.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.Form.Count; i ++ )
  63.                   {
  64.                    getkeys  =  System.Web.HttpContext.Current.Request.Form.Keys;
  65.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
  66.                       {
  67.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  68.                        System.Web.HttpContext.Current.Response.End();
  69.                    }
  70.                }
  71.            }
  72.        }
  73.         catch
  74.           {
  75.             //  错误处理: 处理用户提交信息!
  76.        }
  77.    }
  78.    #endregion
Code kopiëren
Onze oplossing is:
1. Ten eerste, bij het invoeren van de UI, om het type en de lengte van de data te controleren en SQL-injectieaanvallen te voorkomen, biedt het systeem een functie om injectieaanvallen te detecteren; zodra de injectieaanval is gedetecteerd, kan de data niet worden ingediend;
2. Controle over de bedrijfslogica-laag, door SQL-sleutelwoorden op een bepaalde manier binnen de methode te blokkeren, en vervolgens de gegevenslengte te controleren om te verzekeren dat er geen SQL-database-injectie-aanvalscode zal zijn bij het indienen van SQL; Na deze verwerking worden de gemaskeerde tekens echter hersteld wanneer de UI uitgeeft. Daarom biedt het systeem functies om karakters af te schermen en functies om tekens te herstellen.
3. In de data-toegangslaag wordt het merendeel van de data benaderd door opgeslagen procedures, en worden de parameters van opgeslagen procedures geraadpleegd wanneer ze worden aangeroepen, wat ook injectie-aanvallen voorkomt.







Vorig:Bouw een aangepaste bestandscache ASP.NET prestatieoptimalisatie
Volgend:c# en asp.net SQL-injectiefiltermethoden voorkomen

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com