主页 > 知识库 > Asp.net之数据过滤浅析

Asp.net之数据过滤浅析

热门标签:云南外呼电销机器人系统 陕西人工外呼系统哪家好 山西防封卡电销卡套餐 海外地图标注门市标 上海杨浦怎么申请申请400电话 浙江外呼系统怎么安装 铜川小型外呼系统运营商 地图标注多个行程 厦门商铺地图标注
在Asp.net开如中,引发安全问题最多的大多来自于以下三个方面:
  1.上传
  2.跨站
  3.注入
  上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问题,而这两者都是基本可以通过过滤来处理的!把注入放在最后面是因为,SQL注入玩了这么多年,大家应当有了一定的防范,只要稍有点注意,能在asp.net上面玩下的注入还是相当少的!注意这以下几点。
  1.所有的参数。如果是int类型的,请转换成int再处理! 别拿装箱与拆箱来说事!估计现在大家也不会把sql语句直接在web里面拼接了,起码也要用上几个类,中间的一些简单的逻辑处理!类型转换还是要涉及到的
  2.尽量使用参数化查询!
  3.起码要注意过滤单引号(其实如果使用参数化查询,不过滤也没事,不过我还是习惯性过滤)!
  4.不要直接把错误赤裸裸的暴露给用户!这点不仅仅是为了防范注入,同时也是一个用户体验问题!通过重写OnError事件,再继承,能很好的处理!
  而相对于跨站,防洗耳范起来就麻烦多了,过滤一直是个很纠结的东西,过滤太严了,影响正常使用,没过滤好,又引发安全问题!我把我刚写的过滤类拿出来,也许其中还有没有考虑到的地方,希望大家指点,
复制代码 代码如下:

public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站攻击过虑*/
input = input.Replace("#", "#");//过滤# 攻击方式#x6A#x61#x76#x61#x73#x63#x72#x69#x70#x74#x3A#x61#x6C#x65#x72#x74#x28#x27#x58#x53#x53#x27#x29
input = Regex.Replace(input, @"javascript:", "#74;avascript#58;", RegexOptions.IgnoreCase);//过滤JS 攻击方式:javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "#86;#98;script#58;", RegexOptions.IgnoreCase);//过滤JS 攻击方式:vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "#86;#98;script#58;", RegexOptions.IgnoreCase);//攻击方式:java script:alert('XSS');
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "expression", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"[\u0020]*style[^>]*>", "#83;#58;yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"[^>]*object[^>]*>", "#111;#98jec$58", RegexOptions.IgnoreCase);//攻击方式 OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn">/OBJECT> 注意,这样过滤后将无法使用FLASH
/*各种事件过滤*/
input = Regex.Replace(input, @"[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "#39;");//单引号防止SQL注入
input = Regex.Replace(input, @"script", "#83;#99;ript", RegexOptions.IgnoreCase);//防止脚本攻击
input = Regex.Replace(input, @"frame", "#102;#114;ame", RegexOptions.IgnoreCase);//防止iframe 挂马
input = Regex.Replace(input, @"form", "#102;#111;rm", RegexOptions.IgnoreCase);//禁止表单提交
input = Regex.Replace(input, @"meta", "#109;#101;ta", RegexOptions.IgnoreCase);//防止用使meta跳转到非法网页
return input;
}

补充一下,过滤千万不要把字符串过虑成空,这样同样存在安全问题,必须过虑成另外一个字符串,比如过滤你好,那么用户可以构建这样一个字符“你你好好”,通过Replace("你好","")之后,输出的结果,我不说大家也知道!
另外,这里是考虑了支持HTML的情况,所以没有直接过虑尖括号!
您可能感兴趣的文章:
  • asp.NET 脏字过滤算法 修改版
  • asp.NET 脏字过滤算法
  • ASP.NET过滤器的应用方法介绍
  • asp.net 过滤图片标签的正则
  • ASP.NET环境下为网站增加IP过滤功能
  • ASP.NET过滤HTML标签只保留换行与空格的方法
  • ASP.NET过滤HTML字符串方法总结
  • ASP.NET中的URL过滤实现代码
  • asp.net 脏字典过滤问题 用正则表达式来过滤脏数据
  • ASP.NET过滤类SqlFilter,防止SQL注入
  • 高效.NET脏字过滤算法与应用实例

标签:莱芜 许昌 自贡 朔州 孝感 西双版纳 常州 信阳

巨人网络通讯声明:本文标题《Asp.net之数据过滤浅析》,本文关键词  Asp.net,之,数据,过滤,浅析,;如发现本文内容存在版权问题,烦请提供相关信息告之我们,我们将及时沟通与处理。本站内容系统采集于网络,涉及言论、版权与本站无关。
  • 相关文章
  • 下面列出与本文章《Asp.net之数据过滤浅析》相关的同类信息!
  • 本页收集关于Asp.net之数据过滤浅析的相关信息资讯供网民参考!
  • 推荐文章