Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Programação .Net/C # C#. .NET para prevenir ataques de injeção SQL
Vista: 17354|Resposta: 0

[WinForm] C#. .NET para prevenir ataques de injeção SQL

[Copiar link]
Publicado em 19/04/2015 23:32:01 | | |
  1. #region  防止sql注入式攻击(可用于UI层控制)
  2.   
  3.    ///
  4.    ///  判断字符串中是否有SQL攻击代码
  5.    ///
  6.    ///  传入用户提交数据
  7.    ///  true-安全;false-有注入攻击现有;
  8.    public   bool  ProcessSqlStr( string  inputString)
  9.      {
  10.       string  SqlStr  =   @"
  11. and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net
  12. +localgroup +administrators " ;
  13.         try
  14.           {
  15.             if  ((inputString  !=   null )  &&  (inputString  !=  String.Empty))
  16.               {
  17.                 string  str_Regex  =   @" \b( "   +  SqlStr  +   @" )\b " ;
  18.   
  19.                Regex Regex  =   new  Regex(str_Regex, RegexOptions.IgnoreCase);
  20.                 // string s = Regex.Match(inputString).Value;
  21.                 if  ( true   ==  Regex.IsMatch(inputString))
  22.                     return   false ;
  23.   
  24.           }
  25.       }
  26.        catch
  27.          {
  28.            return   false ;
  29.       }
  30.        return   true ;
  31.   }


  34.    ///
  35.   ///  处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行
  36.   ///  System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,
  37.   ///  在Web.Config文件时里面添加一个 ErrorPage 即可
  38.   ///
  39.   ///     
  40.   ///  
  41.   public   void  ProcessRequest()
  42.     {
  43.        try
  44.          {
  45.            string  getkeys  =   "" ;
  46.            string  sqlErrorPage  =  System.Configuration.ConfigurationSettings.AppSettings[ " ErrorPage " ].ToString();
  47.           if  (System.Web.HttpContext.Current.Request.QueryString  !=   null )
  48.             {

  50.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.QueryString.Count; i ++ )
  51.                 {
  52.                   getkeys  =  System.Web.HttpContext.Current.Request.QueryString.Keys;
  53.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
  54.                       {
  55.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  56.                      System.Web.HttpContext.Current.Response.End();
  57.                  }
  58.              }
  59.          }
  60.           if  (System.Web.HttpContext.Current.Request.Form  !=   null )
  61.             {
  62.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.Form.Count; i ++ )
  63.                   {
  64.                    getkeys  =  System.Web.HttpContext.Current.Request.Form.Keys;
  65.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
  66.                       {
  67.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑! " );
  68.                        System.Web.HttpContext.Current.Response.End();
  69.                    }
  70.                }
  71.            }
  72.        }
  73.         catch
  74.           {
  75.             //  错误处理: 处理用户提交信息!
  76.        }
  77.    }
  78.    #endregion
Copiar código
Nossa solução é:
1. Primeiro, ao inserir a interface, para controlar o tipo e o comprimento dos dados e evitar ataques de injeção SQL, o sistema fornece uma função para detectar ataques de injeção; uma vez detectado o ataque de injeção, os dados não podem ser submetidos;
2. Controle da camada de lógica de negócios, bloqueando palavras-chave SQL de determinada forma dentro do método e, em seguida, verificando o comprimento dos dados para garantir que não haverá código de ataque de injeção de banco de dados SQL ao submeter SQL; No entanto, após esse processamento, os caracteres mascarados são restaurados quando a interface é exibida. Portanto, o sistema fornece funções para proteger personagens e funções para restaurar personagens.
3. Na camada de acesso a dados, a maior parte dos dados é acessada por procedimentos armazenados, e os parâmetros do procedimento armazenado são acessados quando chamados, o que também impede ataques de injeção.







Anterior:Construa um cache de arquivos personalizado ASP.NET otimização de desempenho
Próximo:c# e asp.net previnem métodos de filtragem por injeção SQL

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com