`
joerong666
  • 浏览: 418041 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

解决Sql注入的类(C#版,Java版可效仿)

阅读更多

全站防SQL注入类的修改版本

关键词asp.net    C#    SQL注入类                                          

 

相信Sql注入时下已不再是什么新名词了,今天也正好撞上这样的bug,网上这方面的理论很多,但真正有提供一个明确完整的解决方案的,实在是少得可怜(不知是不是我的手气太差了 ^^).废话就不多说了,下面本人就此次整理出来的Sql注入处理类打出告示,希望给需要的朋友一点帮助~~~~
需要的朋友只需将下面的代码复制粘贴到一个cs文件或者下载附件就可以用了~~~~~~~~~~~

值得一提的是:如果使用全局性的检验方式,则在开发之初无需考虑Sql注入的情况

/// <summary>
/// 防SQL注入检查器
/// </summary>
public class SqlChecker
{
  //当前请求对象
  private HttpRequest request;
  //当前响应对象
  private HttpResponse response;
  //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面
  private string safeUrl = String.Empty;
 
  //Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来
  //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
  private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and";
  //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来
  //private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
  private const string StrRegex = @"=|!|'";
  public SqlChecker()
  {
  //
  // TODO: 在此处添加构造函数逻辑
  //
  }
  /// <summary>
  /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上
  /// </summary>
  /// <param name="_request">当前请求的 Request 对象</param>
  /// <param name="_response">当前请求的 Response 对象</param>
  public SqlChecker(HttpRequest _request,HttpResponse _response)
  {
  this.request = _request;
  this.response = _response;
  }
  /// <summary>
  /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上
  /// </summary>
  /// <param name="_request">当前请求的 Request 对象</param>
  /// <param name="_response">当前请求的 Response 对象</param>
  /// <param name="_safeUrl">验证Sql注入之后将导向的安全 url</param>
  public SqlChecker(HttpRequest _request,HttpResponse _response,string _safeUrl)
  {
  this.request = _request;
  this.response = _response;
  this.safeUrl = _safeUrl;
  }
  /// <summary>
  /// 只读属性 SQL关键字
  /// </summary>
  public string KeyWord
  {
  get
  {
    return StrKeyWord;
  }
  }
  /// <summary>
  /// 只读属性过滤特殊字符
  /// </summary>
  public string RegexString
  {
  get
  {
    return StrRegex;
  }
  }
  /// <summary>
  /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本)
  /// </summary>
  public string Msg
  {
  get
  {
    string msg = "<script type='text/javascript'> "
    + " alert('请勿输入非法字符!'); ";
 
    if (this.safeUrl == String.Empty)
    msg += " window.location.href = '" + request.RawUrl + "'";
    else
    msg += " window.location.href = '" + safeUrl + "'";
           
    msg += "</script>";
    return msg;
  }
  }
  /// <summary>
  /// 检查URL参数中是否带有SQL注入的可能关键字。
  /// </summary>
  /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
  public bool CheckRequestQuery()
  {
  bool result = false;
  if (request.QueryString.Count != 0)
  {
    //若URL中参数存在,则逐个检验参数。
    foreach (string queryName in this.request.QueryString)
    {
    //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
    if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
      continue;
    //开始检查请求参数值是否合法
    if (CheckKeyWord(request.QueryString[queryName]))
    {
      //只要存在一个可能出现Sql注入的参数,则直接退出
      result = true;
      break;
    }
    }
  }
  return result;
  }
  /// <summary>
  /// 检查提交表单中是否存在SQL注入的可能关键字
  /// </summary>
  /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
  public bool CheckRequestForm()
  {
  bool result = false;
  if (request.Form.Count > 0)
  {
    //若获取提交的表单项个数不为0,则逐个比较参数
    foreach (string queryName in this.request.Form)
    {
    //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
    if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
      continue;
    //开始检查提交的表单参数值是否合法
    if (CheckKeyWord(request.Form[queryName]))
    {
      //只要存在一个可能出现Sql注入的参数,则直接退出
      result = true;
      break;
    }
    }               
  }
  return result;
  }
  /// <summary>
  /// 检查_sword是否包涵SQL关键字
  /// </summary>
  /// <param name="_sWord">需要检查的字符串</param>
  /// <returns>存在SQL注入关键字时返回 true,否则返回 false</returns>
  public bool CheckKeyWord(string _sWord)
  {
  bool result = false;
  //模式1 : 对应Sql注入的可能关键字
  string[] patten1 = StrKeyWord.Split('|');
  //模式2 : 对应Sql注入的可能特殊符号
  string[] patten2 = StrRegex.Split('|');
  //开始检查 模式1:Sql注入的可能关键字 的注入情况
  foreach (string sqlKey in patten1)
  {
    if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0)
    {
    //只要存在一个可能出现Sql注入的参数,则直接退出
    result = true;
    break;
    }
  }
  //开始检查 模式1:Sql注入的可能特殊符号 的注入情况
  foreach (string sqlKey in patten2)
  {
    if (_sWord.IndexOf(sqlKey) >= 0)
    {
    //只要存在一个可能出现Sql注入的参数,则直接退出
    result = true;
    break;
    }
  }
  return result;
  }
  /// <summary>
  /// 执行Sql注入验证
  /// </summary>
  public void Check()
  {
  if (CheckRequestQuery() || CheckRequestForm())
  {
    response.Write(Msg);
    response.End();
  }
  }
}

/// 使用说明 ///
// 使用时可以根据需要决定是要进行全局性(即针对整个应用程序)的Sql注入检查
// ,还是局部性(即在针对某个页面)的Sql注入检查
/*=========== 全局性设置:在Global.asax.cs 中加上以下代码 =============

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
  //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
  SqlChecker.Check();
}

======================================================================*/
/*============ 局部性:在任何时候都可直接用以下代码来实现Sql注入检验 ===============

  SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
  //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
  SqlChecker.Check();

==================================================================================*/
分享到:
评论

相关推荐

    C#防SQL注入

    C#防SQL注入 C#防SQL注入是指在C#程序中防止SQL注入攻击的方法。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中.inject恶意SQL代码,来访问、修改或删除数据库中的数据。为了防止SQL注入,C#...

    C#防SQL注入代码的三种方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一  在Web.config文件中

    SQL注入过滤 (Java版)

    本篇将详细探讨Java环境下如何实现一个SQL注入过滤器,并结合`web.xml`配置文件来部署和应用。 首先,我们需要了解SQL注入的基本原理。当用户输入的数据未经验证或转义就直接拼接到SQL查询语句中时,就可能发生SQL...

    C# MVC 过滤器防止SQL注入

    C# MVC 过滤器防止SQL注入

    sql注入Java过滤器

    配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符

    java防sql注入攻击过滤器

    为了解决这个问题,Java中的防SQL注入过滤器可以在数据进入数据库之前对用户输入进行检查和清理。这个过滤器通常是一个实现了Servlet Filter接口的类,会在HTTP请求到达目标Servlet之前对其进行拦截和处理。 以下是...

    java过滤器防sql注入

    外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...

    防止sql注入工具类l

    在这个主题中,我们将深入探讨“防止SQL注入工具类”的相关知识点,以及如何在实际开发中有效地应用这些工具。 首先,我们需要理解SQL注入的基本原理。当应用程序直接将用户输入的数据拼接到SQL查询语句中时,如果...

    如何解决sql注入问题

    ### 如何解决SQL注入问题:全面解析与防范策略 #### SQL注入概述 SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库,获取未授权的数据访问,修改或破坏...

    基于ESAPI的防sql注入jar包及使用示例.rar

    它由OWASP(开放网络应用安全项目)维护,旨在解决常见的Web应用安全问题,包括SQL注入、XSS跨站脚本等。ESAPI提供了一套完整的API,帮助开发者编写更安全的代码。 **核心组件:ESAPIUtils** 在提供的文件中,`...

    mybatissql_mybatis解决sql注入

    综上所述,MyBatis通过预编译SQL、使用参数化、提供插件支持、动态SQL构造以及通过拦截器和业务层验证等方式,有效地解决了SQL注入问题,为Java应用提供了强大的数据库操作支持,并保证了系统的安全性。对于开发者来...

    防止sql注入小方法

    本文将通过C#与Access相结合的应用实例,详细介绍SQL注入的基本概念、危害性以及如何有效地防止SQL注入攻击。 #### 二、SQL注入概述 SQL注入是一种常见的网络攻击方式,攻击者通过在Web表单或其他输入字段中插入...

    java web Xss及sql注入过滤器.zip

    本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...

    java防止SQL注入

    Java 防止 SQL 注入 Java 防止 SQL 注入是一个至关重要的安全问题,SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的...

    C#参数化查询,避免SQL注入

    为了解决这个问题,C#提供了一种有效的方法——参数化查询,这是一种安全且高效的方式来执行数据库操作,能有效地防止SQL注入攻击。 参数化查询的核心思想是将SQL语句和实际的值分离,通过占位符(如`?`或`@param`...

    SQL数据库类 C#SQL数据库源码 C#SQL数据库源 SQL数据库访问 C#ACCESS数据库操作

    SQL数据库类 C#SQL数据库源码 C#SQL数据库源 SQL数据库访问 C#ACCESS数据库操作

    SQL注入漏洞检测原型工具

    总的来说,"SQL注入漏洞检测原型工具"是一个综合性的解决方案,旨在帮助开发者和安全专家识别和修复SQL注入问题。它结合了动态检测和静态分析两种策略,覆盖了从运行时到开发阶段的整个过程。通过学习和使用这个工具...

    c# sqlserver2008 简单的SQL注入演示

    本示例是关于"C#与SQL Server 2008环境下如何进行简单的SQL注入演示",我们将深入探讨这一主题,理解其原理,并学习如何防范。 首先,SQL注入通常发生在应用程序未对用户输入进行充分验证或转义时。例如,一个简单...

    C#防SQL注入代码

    本篇将详细介绍如何在C#中防止SQL注入,主要涉及三个核心部分:验证方法、Global.asax事件以及Global中的一个特定方法。 一、验证方法 验证方法是预防SQL注入的第一道防线,它对用户输入的数据进行检查和清理,确保...

Global site tag (gtag.js) - Google Analytics