亚洲a免费,国产日韩欧美视频,日本爽视频

防sql注入的常用方法：

1、服務(wù)端對(duì)前端傳過來的參數(shù)值進(jìn)行類型驗(yàn)證；

2、服務(wù)端執(zhí)行sql，使用參數(shù)化傳值，而不要使用sql字符串拼接；

3、服務(wù)端對(duì)前端傳過來的數(shù)據(jù)進(jìn)行sql關(guān)鍵詞過來與檢測(cè)；

著重記錄下服務(wù)端進(jìn)行sql關(guān)鍵詞檢測(cè)：

1、sql關(guān)鍵詞檢測(cè)類：

				?

									public class SqlInjectHelper:System.Web.UI.Page

									 {

									  private static string StrKeyWord = "select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net local group administrators|net user|or|and";

									  private static string StrSymbol = ";|(|)|[|]|{|}|%|@|*|'|!";

									  private HttpRequest request;

									  public SqlInjectHelper(System.Web.HttpRequest _request)

									  {

									   this.request = _request;

									  }

									  public bool CheckSqlInject()

									  {

									   return CheckRequestQuery() || CheckRequestForm();

									  }

									  ///<summary> 

									  ///檢查URL中是否包含Sql注入 

									  /// <param name="_request">當(dāng)前HttpRequest對(duì)象</param> 

									  /// <returns>如果包含sql注入關(guān)鍵字，返回：true;否則返回：false</returns> 

									  ///</summary> 

									  public bool CheckRequestQuery()

									  {

									   if (request.QueryString.Count > 0)

									   {

									    foreach (string sqlParam in this.request.QueryString)

									    {

									     if (sqlParam == "__VIEWSTATE") 

									      continue;

									     if (sqlParam == "__EVENTVALIDATION") 

									      continue;

									     if (CheckKeyWord(request.QueryString[sqlParam].ToLower()))

									     {

									      return true;

									     }

									    }

									   }

									   return false;

									  }

									  ///<summary> 

									  ///檢查提交的表單中是否包含Sql注入關(guān)鍵字

									  /// <param name="_request">當(dāng)前HttpRequest對(duì)象</param> 

									  /// <returns>如果包含sql注入關(guān)鍵字，返回：true;否則返回：false</returns> 

									  ///</summary> 

									  public bool CheckRequestForm()

									  {

									   if (request.Form.Count > 0)

									   {

									    foreach (string sqlParam in this.request.Form)

									    {

									     if (sqlParam == "__VIEWSTATE") 

									      continue;

									     if (sqlParam == "__EVENTVALIDATION") 

									      continue;

									     if (CheckKeyWord(request.Form[sqlParam]))

									     {

									      return true;

									     }

									    }

									   }

									   return false;

									  }

									  ///<summary> 

									  ///檢查字符串中是否包含Sql注入關(guān)鍵字 

									  /// <param name="_key">被檢查的字符串</param> 

									  /// <returns>如果包含sql注入關(guān)鍵字，返回：true;否則返回：false</returns> 

									  ///</summary> 

									  private static bool CheckKeyWord(string _key)

									  {

									   string[] pattenKeyWord = StrKeyWord.Split('|');

									   string[] pattenSymbol = StrSymbol.Split('|');

									   foreach (string sqlParam in pattenKeyWord)

									   {

									    if (_key.Contains(sqlParam + " ") || _key.Contains(" " + sqlParam))

									    {

									     return true;

									    }

									   }

									   foreach (string sqlParam in pattenSymbol)

									   {

									    if (_key.Contains(sqlParam))

									    {

									     return true;

									    }

									   }

									   return false;

									  }

									 }

SqlInjectHelper類中，對(duì)request的query參數(shù)和form參數(shù)進(jìn)行的檢測(cè)，沒有對(duì)cookie的檢測(cè)，如有需要，可自行加上；

2、SqlInjectHelper在哪調(diào)用呢？

1）、如果想對(duì)整個(gè)web站點(diǎn)的所有請(qǐng)求都做sql關(guān)鍵字檢測(cè)，那就在Global.asax 的 Application_BeginRequest方法中調(diào)用；

				?

									protected void Application_BeginRequest(object sender, EventArgs e)

									  {

									   SqlInjectHelper myCheck = new SqlInjectHelper(Request);

									   bool result = myCheck.CheckSqlInject();

									   if (result)

									   {

									    Response.ContentType = "text/plain";

									    Response.Write("您提交的數(shù)據(jù)有惡意字符！");

									    Response.End();

									   }

									  }

2）、如果只需對(duì)某個(gè)接口文件的接口進(jìn)行sql關(guān)鍵字檢測(cè)，那只需在該文件開始處調(diào)用SqlInjectHelper類即可；

				?

									public class Handler1 : IHttpHandler

									 {

									  public void ProcessRequest(HttpContext context)

									  {

									   SqlInjectHelper myCheck = new SqlInjectHelper(context.Request);

									   bool result = myCheck.CheckSqlInject();

									   context.Response.ContentType = "text/plain";

									   context.Response.Write(result?"您提交的數(shù)據(jù)有惡意字符！":"");

									   context.Response.StatusCode = result ? 500 : 200;

									  }

									  public bool IsReusable

									  {

									   get

									   {

									    return false;

									   }

									  }

									 }

上面的代碼就是對(duì)某個(gè)一般處理程序(ashx)添加了sql關(guān)鍵字檢測(cè)；

3、補(bǔ)充說明：asp.net中的 __VIEWSTATE、__EVENTVALIDATION、

　　在sql關(guān)鍵字檢測(cè)方法中，排除了__VIEWSTATE、__EVENTVALIDATION這兩個(gè)參數(shù)；

1）、__VIEWSTATE

　　ViewState是ASP.NET中用來保存WEB控件回傳時(shí)狀態(tài)值一種機(jī)制。在WEB窗體(FORM)的設(shè)置為runat="server",這個(gè)窗體(FORM)會(huì)被附加一個(gè)隱藏的屬性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的狀態(tài)值。

ViewState是類Control中的一個(gè)域，其他所有控件通過繼承Control來獲得了ViewState功能。它的類型是system.Web.UI.StateBag，一個(gè)名稱/值的對(duì)象集合。

　　當(dāng)請(qǐng)求某個(gè)頁面時(shí)，ASP.NET把所有控件的狀態(tài)序列化成一個(gè)字符串，然后做為窗體的隱藏屬性送到客戶端。當(dāng)客戶端把頁面回傳時(shí)，ASP.NET分析回傳的窗體屬性，并賦給控件對(duì)應(yīng)的值；

2）、__EVENTVALIDATION

　　__EVENTVALIDATION只是用來驗(yàn)證事件是否從合法的頁面發(fā)送，只是一個(gè)數(shù)字簽名，所以一般很短。

“id”屬性為“__EVENTVALIDATION”的隱藏字段是ASP.NET 2.0的新增的安全措施。該功能可以阻止由潛在的惡意用戶從瀏覽器端發(fā)送的未經(jīng)授權(quán)的請(qǐng)求.；

4、sql關(guān)鍵詞檢測(cè)的另一個(gè)版本：該版本將所有危險(xiǎn)字符都放在了一個(gè)正則表達(dá)式中；

該類不僅檢測(cè)了sql常用關(guān)鍵字還有xss攻擊的常用關(guān)鍵字

				?

									public class SafeHelper

									 {

									  private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";

									  public static bool PostData()

									  {

									   bool result = false;

									   for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)

									   {

									    result = CheckData(HttpContext.Current.Request.Form[i].ToString());

									    if (result)

									    {

									     break;

									    }

									   }

									   return result;

									  }

									  public static bool GetData()

									  {

									   bool result = false;

									   for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)

									   {

									    result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());

									    if (result)

									    {

									     break;

									    }

									   }

									   return result;

									  }

									  public static bool CookieData()

									  {

									   bool result = false;

									   for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)

									   {

									    result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());

									    if (result)

									    {

									     break;

									    }

									   }

									   return result;

									  }

									  public static bool referer()

									  {

									   bool result = false;

									   return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());

									  }

									  public static bool CheckData(string inputData)

									  {

									   if (Regex.IsMatch(inputData, StrRegex))

									   {

									    return true;

									   }

									   else

									   {

									    return false;

									   }

									  }

									 }