主页 > 知识库 > 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)

热门标签:南阳外呼系统定制化 百度ai地图标注 申请400电话手续 同安公安400电话怎么申请流程 电话机器人软件销售工作 预测式外呼系统使用说明 合肥电销外呼系统哪家公司做的好 玉林市机器人外呼系统哪家好 苹果手机凯立德地图标注
首先,创建一个SQLInjectionHelper类完成恶意代码的检查
代码如下
复制代码 代码如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;
/// summary>
///SQLInjectionHelper 的摘要说明
/// /summary>
public class SQLInjectionHelper
{
/// summary>
/// 获取Post的数据
/// /summary>
/// param name="request">/param>
/// returns>/returns>
public static bool ValidUrlData(string request)
{
bool result = false;
if (request == "POST")
{
for (int i = 0; i HttpContext.Current.Request.Form.Count; i++)
{
result = ValidData(HttpContext.Current.Request.Form[i].ToString());
if (result)
{
break;
}
}
}
else
{
for (int i = 0; i HttpContext.Current.Request.QueryString.Count; i++)
{
result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());
if (result)
{
break;
}
}
}
return result;
}
/// summary>
/// 验证是否存在注入代码
/// /summary>
/// param name="inputData">/param>
/// returns>/returns>
private static bool ValidData(string inputData)
{
//验证inputData是否包含恶意集合
if (Regex.IsMatch(inputData, GetRegexString()))
{
return true;
}
else
{
return false;
}
}
/// summary>
/// 获取正则表达式
/// /summary>
/// returns>/returns>
private static string GetRegexString()
{
//构造SQL的注入关键字符
string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", """, "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };
string str_Regex = ".*(";
for (int i = 0; i strChar.Length - 1; i++)
{
str_Regex += strChar[i] + "|";
}
str_Regex += strChar[strChar.Length - 1] + ").*";
return str_Regex;
}
}

有此类后即可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
代码如下
复制代码 代码如下:

protected void Application_BeginRequest(object sender, EventArgs e)
{
bool result = false;
result = SQLInjectionHelper.ValidUrlData(Request.RequestType.ToUpper());
if (result)
{
Response.Write("您提交的数据有恶意字符");
Response.End();
}
}

下面以一个小程序测试
创建一个页面,如下
复制代码 代码如下:

%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" %>
!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
html xmlns="http://www.w3.org/1999/xhtml">
head runat="server">
title>/title>
/head>
body>
form id="form1" runat="server">
div>
asp:TextBox ID="TextBox1" runat="server">/asp:TextBox>
br />
asp:Button ID="btnPost" runat="server" Text="获取Post数据"
onclick="btnPost_Click" />
/div>
asp:Button ID="btnGet" runat="server" Text="获取Get数据" onclick="btnGet_Click" />
/form>
/body>
/html>

分别添加单击事件,如下
复制代码 代码如下:

protected void btnPost_Click(object sender, EventArgs e)
{
}
protected void btnGet_Click(object sender, EventArgs e)
{
Response.Redirect("Default.aspx?a=1b=2c=3");
}

在文本框中输入非法字符串,无论post请求还是get请求,都会被防SQL注入程序所截获

                      图1 测试防SQL注入程序的页面

                               图2 错误信息

您可能感兴趣的文章:
  • PHPCMS2008广告模板SQL注入漏洞修复
  • Discuz7.2版的faq.php SQL注入漏洞分析
  • 对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
  • php is_numberic函数造成的SQL注入漏洞
  • php中sql注入漏洞示例 sql注入漏洞修复
  • PHP代码网站如何防范SQL注入漏洞攻击建议分享
  • 利用SQL注入漏洞拖库的方法
  • 利用SQL注入漏洞登录后台的实现方法
  • SQL注入漏洞过程实例及解决方案

标签:南京 台州 南昌 南京 扬州 淄博 海南 嘉兴

巨人网络通讯声明:本文标题《在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)》,本文关键词  在,Global.asax,文件,里,实现,;如发现本文内容存在版权问题,烦请提供相关信息告之我们,我们将及时沟通与处理。本站内容系统采集于网络,涉及言论、版权与本站无关。
  • 相关文章
  • 下面列出与本文章《在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)》相关的同类信息!
  • 本页收集关于在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)的相关信息资讯供网民参考!
  • 推荐文章