`
hcmfys
  • 浏览: 357662 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

ASP.net防止SQL注入方法

    博客分类:
  • c#
阅读更多
1、sql注入比较难防,需要替换select,delete等一打字符
其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。
2、忽略DropDownList传来的东西
其实是不对的,一切客户端的东西都是不可信任的,select下拉框也是!因为可以自己做一个htm提交到服务器。
3、access比sqlserver不安全
安全不安全关键看怎么用,如果sqlserver还是像access一样用,一个sa帐户的话,很明显,sqlserver比access不安全,可以直接得到表名和字段名!access反而倒安全点了,因为只能通过逐位猜解得到。
4、网站没有显示出错信息就说明网站是安全的
当有记录的时候显示记录,没有记录的时候显示找不到任何记录,通过这两种状态就可以猜解字段名了,所以网页不出错不能说明是安全的
5、忽略post提交的信息
很多人对url上传递的东西过滤严格,对于post的东西不理不睬是不对的,post的东西更加容易被注入,因为一般字段比较多

在asp.net中强烈建议通过参数来实现sql而不是sql拼接,因为就算你每一个都过滤百密难有疏
比如:

SqlConnection conn=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["conn"]);
            SqlCommand comm=new SqlCommand("update tb1 set vName=@vName,iAge=@iAge where ID=@id",conn);
            SqlParameter parm1=new SqlParameter("@vName",SqlDbType.NVarChar,50);
            parm1.Value=((TextBox)e.Item.FindControl("name")).Text;
            SqlParameter parm2=new SqlParameter("@iAge",SqlDbType.Int);
            parm2.Value=((TextBox)e.Item.FindControl("age")).Text;
            SqlParameter parm3=new SqlParameter("@id",SqlDbType.Int);
            parm3.Value=this.DataGrid1.DataKeys[e.Item.ItemIndex];
            comm.Parameters.Add(parm1);
            comm.Parameters.Add(parm2);
            comm.Parameters.Add(parm3);
            conn.Open();
            comm.ExecuteNonQuery();
            conn.Close();


这样的代码看起来舒服而且又安全,何乐不为?

分享到:
评论

相关推荐

    【ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx

    ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入、SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...

    asp.net和vb.net 防止sql注入源码

    详细的介绍了防止sql注入攻击,内附asp.net 源码和vb.net源码。是初学者不错的选择。希望能够帮助到你。

    【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx

    在现代网络技术迅速发展的今天,网络安全问题愈发受到重视,其中SQL注入攻击是一种非常严重的安全威胁,尤其对于使用ASP.NET技术构建的应用程序。SQL注入允许攻击者通过输入恶意构造的SQL代码片段,使得应用程序执行...

    Asp.Net通用Sql防注入源码

    在Asp.Net开发中,SQL注入是一个非常重要的安全问题,它允许恶意用户通过输入特定的SQL语句来操控后台数据库,可能导致数据泄露、系统瘫痪甚至整个网站的安全性受到威胁。"Asp.Net通用Sql防注入源码"是针对这个问题...

    ASP.NET防止SQL注入函数

    ASP.NET防止SQL注入函数是开发安全Web应用程序的关键措施之一,主要目的是保护数据库不受恶意SQL语句的影响。SQL注入攻击是黑客常用的手段,通过输入含有恶意SQL命令的字符串,可能导致数据泄露、数据破坏甚至整个...

    asp.net 防SQL注入(非常简洁)

    protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this....

    ASP.NET防SQL注入DEMO

    ASP.NET是一种广泛使用的Web应用程序...通过理解这些方法并将其应用于你的ASP.NET项目中,你可以大大提高应用的防护能力,防止恶意攻击者利用SQL注入漏洞。在实际开发中,应该结合各种方法,确保代码的健壮性和安全性。

    史上最全的.net 防止sql注入攻击的替换文本

    针对这一问题,《史上最全的.NET防止SQL注入攻击的替换文本》提供了一系列策略和方法,尤其聚焦于如何在.NET框架下通过字符串处理来防御SQL注入。 ### SQL注入攻击原理 SQL注入攻击主要是利用应用程序对用户输入...

    asp.net简单防范sql注入漏洞

    asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串

    ASP.NET中如何防范SQL注入式攻击

    ASP.NET 是一种强大的 web 应用程序开发框架,然而,如同其他基于数据库的应用程序,它也可能面临 SQL 注入式攻击的威胁。SQL 注入是一种利用恶意 SQL 代码篡改正常查询,以获取未授权访问、数据泄露或破坏数据库的...

    asp.net的SQL防注入过滤函数大集合

    以上提供的函数与处理机制是 ASP.NET 应用中防止 SQL 注入的有效手段之一。它们通过对用户提交的所有数据进行预处理,有效地降低了 SQL 注入攻击的风险。然而,这些方法并非万能,开发人员还需要结合其他安全措施来...

    ASP.NET防止SQL注入的方法示例

    本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接将用户提供的输入拼接到SQL查询中时发生的一种攻击。攻击者可以通过在表单字段、URL参数等处插入...

    ASP.Net C# SQL注入 跨脚步漏洞 案例

    在ASP.NET和C#环境中,如果你的代码没有正确地处理用户输入,就可能导致SQL注入。例如,如果你直接将用户输入的数据拼接到SQL查询语句中,攻击者可以构造特殊的输入,使得查询执行非预期的操作,如读取、修改或删除...

    ASP.NET防SQL注入脚本程序

    这个"ASP.NET防SQL注入脚本程序"显然是为了帮助开发者防止这种攻击而设计的。 SQL注入是黑客利用输入字段向应用程序的SQL查询中插入恶意代码,从而控制或操纵数据库的一种手段。例如,如果一个登录页面没有正确验证...

    ASP.NET防范SQL注入式攻击的方法

    一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...

    ASP.NET源码——通用防SQL注入漏洞程序(Global.asax方式).zip

    通过分析和学习这个源码,开发者可以了解到如何在ASP.NET应用程序中有效地防止SQL注入,提升应用程序的安全性。同时,这也提醒我们,安全不应只依赖于单一的防护措施,而应综合多种方法,形成多层防御体系。

    ASP.NET(VB.NET)防SQL注入脚本程序.rar

    这个压缩包中的"ASP.NET(VB.NET)防SQL注入脚本2.0"是一个源码实例,提供了防止SQL注入的解决方案。它包含了VB.NET编写的类和方法,用于检查和清理用户输入,确保其不会对数据库执行恶意操作。以下是一些关键的安全...

    最新ASP.NET+SQL Server项目

    7. **安全性**:学习如何实现ASP.NET的身份验证和授权机制,以及SQL Server的安全策略,如用户权限管理和SQL注入防护。 8. **性能优化**:讨论如何优化ASP.NET应用程序和SQL Server查询,提高系统性能,例如使用...

    asp.net防sql注入

    **ASP.NET防止SQL注入的方法** 1. **参数化查询(Parameterized Queries)** ASP.NET推荐使用参数化查询,也称为存储过程或预编译的SQL语句。这种方法可以确保用户输入被当作参数处理,而非直接拼接到SQL语句中,...

    简单的asp.net登陆有一定的sql防注入功能

    标题提到的"简单的asp.net登陆有一定的sql防注入功能",意味着这个示例将展示一种基础的方法来防止SQL注入攻击。在ASP.NET中,通常我们会使用参数化查询或存储过程来避免这种情况,但在这个例子中,它可能通过一个...

Global site tag (gtag.js) - Google Analytics