网站安全性:C#防SQL注入代码的实现方法

开发 后端
为了提高网站的安全性,首先网站要防注入。本文就讲解了C#防SQL注入代码实现方法,供大家参考。

对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。

下面说下网站防注入的几点要素。

一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。

二:如果用SQL语句,那就使用参数化,添加Param

三:尽可能的使用存储过程,安全性能高而且处理速度也快

四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法

C#防SQL注入方法一

在Web.config文件中, < appSettings>下面增加一个标签:如下

  1. < appSettings>   
  2. < add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />   
  3. < /appSettings>  

其中key是 < saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

C#防SQL注入方法二

在Global.asax中增加下面一段:  

  1. protected void Application_BeginRequest(Object sender, EventArgs e){   
  2. String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');   
  3. for(int i= 0 ;i <  safeParameters.Length; i++){   
  4. String parameterName = safeParameters[i].Split('-')[0];   
  5. String parameterType = safeParameters[i].Split('-')[1];   
  6. isValidParameter(parameterName, parameterType);   
  7. }   
  8. }   
  9.  
  10. public void isValidParameter(string parameterName, string parameterType){   
  11. string parameterValue = Request.QueryString[parameterName];   
  12. if(parameterValue == nullreturn;   
  13.  
  14. if(parameterType.Equals("int32")){   
  15. if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");   
  16. }   
  17. else if (parameterType.Equals("USzip")){   
  18. if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");   
  19. }   
  20. else if (parameterType.Equals("email")){   
  21. if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");   
  22. }   
  23. }  

C#防SQL注入方法

使用字符串过滤类

  1. using System;  
  2.  
  3. namespace web.comm  
  4. {  
  5.     /**//// < summary>  
  6.     /// ProcessRequest 的摘要说明。  
  7.     /// < /summary>  
  8.     public class ProcessRequest  
  9.     {  
  10.         public ProcessRequest()  
  11.         {  
  12.             //  
  13.             // TODO: 在此处添加构造函数逻辑  
  14.             //  
  15.         }  
  16.  
  17.         SQL注入式攻击代码分析#region SQL注入式攻击代码分析  
  18.         /**//// < summary>  
  19.         /// 处理用户提交的请求  
  20.         /// < /summary>  
  21.         public static void StartProcessRequest()  
  22.         {  
  23.               
  24. //            System.Web.HttpContext.Current.Response.Write("< script>alert('dddd');< /script>");  
  25.             try 
  26.             {  
  27.                 string getkeys = "";  
  28.                 //string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();  
  29.                 if (System.Web.HttpContext.Current.Request.QueryString != null)  
  30.                 {  
  31.       
  32.                     for(int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++)  
  33.                     {  
  34.                         getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];  
  35.                         if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))  
  36.                         {  
  37.                             //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");  
  38.                             System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");  
  39.                             System.Web.HttpContext.Current.Response.End();  
  40.                         }  
  41.                     }  
  42.                 }  
  43.                 if (System.Web.HttpContext.Current.Request.Form != null)  
  44.                 {  
  45.                     for(int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++)  
  46.                     {  
  47.                         getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];  
  48.                         if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))  
  49.                         {  
  50.                             //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");  
  51.                             System.Web.HttpContext.Current.Response.Write("< script>alert('请勿非法提交!');history.back();< /script>");  
  52.                             System.Web.HttpContext.Current.Response.End();  
  53.                         }  
  54.                     }  
  55.                 }  
  56.             }  
  57.             catch 
  58.             {  
  59.                 // 错误处理: 处理用户提交信息!  
  60.             }  
  61.         }  
  62.         /**//// < summary>  
  63.         /// 分析用户请求是否正常  
  64.         /// < /summary>  
  65.         /// < param name="Str">传入用户提交数据< /param>  
  66.         /// < returns>返回是否含有SQL注入式攻击代码< /returns>  
  67.         private static bool ProcessSqlStr(string Str,int type)  
  68.         {  
  69.             string SqlStr;  
  70.  
  71.             if(type == 1)  
  72.                 SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";  
  73.             else 
  74.                 SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";  
  75.  
  76.             bool ReturnValue = true;  
  77.             try 
  78.             {  
  79.                 if (Str != "")  
  80.                 {  
  81.                     string[] anySqlStr = SqlStr.Split('|');  
  82.                     foreach (string ss in anySqlStr)  
  83.                     {  
  84.                         if (Str.IndexOf(ss)>=0)  
  85.                         {  
  86.                             ReturnValue = false;  
  87.                         }  
  88.                     }  
  89.                 }  
  90.             }  
  91.             catch 
  92.             {  
  93.                 ReturnValue = false;  
  94.             }  
  95.             return ReturnValue;  
  96.         }  
  97.         #endregion  
  98.  
  99.     }  

【编辑推荐】

  1. 浅析C#启动停止SQL数据库服务之方法
  2. 总结C#获取当前路径的7种方法
  3. 浅析C# treeview控件的使用方法
  4. C#多态性的概念及其应用
  5. 介绍C#构造函数的使用方法
责任编辑:book05 来源: hi.baidu
相关推荐

2021-10-19 06:05:20

网站安全网络威胁网络攻击

2009-09-01 16:29:01

C#单元测试

2019-08-21 17:10:13

安全技术网络安全网站

2019-11-12 16:39:43

黑客网络安全云计算

2017-03-01 11:52:30

2012-08-29 09:29:28

SQL Server

2010-05-17 16:26:36

IIS安全

2011-03-11 14:05:41

2010-09-14 19:50:55

2012-12-28 09:36:08

SQL Server SQL Server安

2013-03-04 09:21:23

SQL Server安全工具

2023-03-07 08:00:00

2009-11-30 09:41:38

2010-12-15 10:13:22

2012-10-16 10:02:08

加密SaaS安全SaaS加密

2012-10-16 09:28:49

SaaS安全加密

2020-12-11 06:05:46

智能门锁指纹人工智能

2009-08-05 15:04:14

C# dll注入

2010-09-14 19:29:00

2010-11-09 15:50:47

SQL Server安
点赞
收藏

51CTO技术栈公众号