.Net防sql注入的几种方法

网络编程 2025/11/1 佚名

3 2 1

防sql注入的常用方法：

1、服务端对前端传过来的参数值进行类型验证；

2、服务端执行sql，使用参数化传值，而不要使用sql字符串拼接；

3、服务端对前端传过来的数据进行sql关键词过来与检测；

着重记录下服务端进行sql关键词检测：

1、sql关键词检测类：

public class SqlInjectHelper:System.Web.UI.Page
 {
  private static string StrKeyWord = "select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net local group administrators|net user|or|and";
  private static string StrSymbol = ";|(|)|[|]|{|}|%|@|*|'|!";

  private HttpRequest request;
  public SqlInjectHelper(System.Web.HttpRequest _request)
  {
   this.request = _request;
  }
  public bool CheckSqlInject()
  {
   return CheckRequestQuery() || CheckRequestForm();
  }

  ///<summary> 
  ///检查URL中是否包含Sql注入 
  /// <param name="_request">当前HttpRequest对象</param> 
  /// <returns>如果包含sql注入关键字，返回：true;否则返回：false</returns> 
  ///</summary> 
  public bool CheckRequestQuery()
  {
   if (request.QueryString.Count > 0)
   {
    foreach (string sqlParam in this.request.QueryString)
    {
     if (sqlParam == "__VIEWSTATE") 
      continue;
     if (sqlParam == "__EVENTVALIDATION") 
      continue;
     if (CheckKeyWord(request.QueryString[sqlParam].ToLower()))
     {
      return true;
     }
    }
   }
   return false;
  }
  ///<summary> 
  ///检查提交的表单中是否包含Sql注入关键字
  /// <param name="_request">当前HttpRequest对象</param> 
  /// <returns>如果包含sql注入关键字，返回：true;否则返回：false</returns> 
  ///</summary> 
  public bool CheckRequestForm()
  {
   if (request.Form.Count > 0)
   {
    foreach (string sqlParam in this.request.Form)
    {
     if (sqlParam == "__VIEWSTATE") 
      continue;
     if (sqlParam == "__EVENTVALIDATION") 
      continue;
     if (CheckKeyWord(request.Form[sqlParam]))
     {
      return true;
     }
    }
   }
   return false;
  }
  ///<summary> 
  ///检查字符串中是否包含Sql注入关键字 
  /// <param name="_key">被检查的字符串</param> 
  /// <returns>如果包含sql注入关键字，返回：true;否则返回：false</returns> 
  ///</summary> 
  private static bool CheckKeyWord(string _key)
  {
   string[] pattenKeyWord = StrKeyWord.Split('|');
   string[] pattenSymbol = StrSymbol.Split('|');
   foreach (string sqlParam in pattenKeyWord)
   {
    if (_key.Contains(sqlParam + " ") || _key.Contains(" " + sqlParam))
    {
     return true;
    }
   }
   foreach (string sqlParam in pattenSymbol)
   {
    if (_key.Contains(sqlParam))
    {
     return true;
    }
   }
   return false;
  }

 }

SqlInjectHelper类中，对request的query参数和form参数进行的检测，没有对cookie的检测，如有需要，可自行加上；

2、SqlInjectHelper在哪调用呢？

1）、如果想对整个web站点的所有请求都做sql关键字检测，那就在Global.asax 的 Application_BeginRequest方法中调用；

protected void Application_BeginRequest(object sender, EventArgs e)
  {
   SqlInjectHelper myCheck = new SqlInjectHelper(Request);
   bool result = myCheck.CheckSqlInject();
   if (result)
   {
    Response.ContentType = "text/plain";
    Response.Write("您提交的数据有恶意字符！");
    Response.End();
   }
  }

2）、如果只需对某个接口文件的接口进行sql关键字检测，那只需在该文件开始处调用SqlInjectHelper类即可；

public class Handler1 : IHttpHandler
 {
  public void ProcessRequest(HttpContext context)
  {
   SqlInjectHelper myCheck = new SqlInjectHelper(context.Request);
   bool result = myCheck.CheckSqlInject();
   context.Response.ContentType = "text/plain";
   context.Response.Write(result"您提交的数据有恶意字符！":"");
   context.Response.StatusCode = result "server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。 


ViewState是类Control中的一个域，其他所有控件通过继承Control来获得了ViewState功能。它的类型是system.Web.UI.StateBag，一个名称/值的对象集合。 


　　当请求某个页面时，ASP.NET把所有控件的状态序列化成一个字符串，然后做为窗体的隐藏属性送到客户端。当客户端把页面回传时，ASP.NET分析回传的窗体属性，并赋给控件对应的值；
2）、__EVENTVALIDATION


　　__EVENTVALIDATION只是用来验证事件是否从合法的页面发送，只是一个数字签名，所以一般很短。


“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.；
4、sql关键词检测的另一个版本：该版本将所有危险字符都放在了一个正则表达式中；


该类不仅检测了sql常用关键字还有xss攻击的常用关键字


public class SafeHelper
 {
  private const string StrRegex = @"<[^>]+";
  public static bool PostData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.Form[i].ToString());
    if (result)
    {
     break;
    }
   }
   return result;
  }

  public static bool GetData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
    if (result)
    {
     break;
    }
   }
   return result;
  }
  public static bool CookieData()
  {
   bool result = false;
   for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
   {
    result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
    if (result)
    {
     break;
    }
   }
   return result;

  }
  public static bool referer()
  {
   bool result = false;
   return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
  }
  public static bool CheckData(string inputData)
  {
   if (Regex.IsMatch(inputData, StrRegex))
   {
    return true;
   }
   else
   {
    return false;
   }
  }
 }


总结
以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作具有一定的参考学习价值，谢谢大家对的支持。

netsql注入,sql注入问题,.net防sql注入

标签：

netsql注入,sql注入问题,.net防sql注入

免责声明：本站文章均来自网站采集或用户投稿，网站不提供任何软件下载或自行开发的软件！如有用户或公司发现本站内容信息存在侵权行为，请邮件告知！ 858582#qq.com

白云城资源网 Copyright www.dyhadc.com

评论“.Net防sql注入的几种方法”

.Net防sql注入的几种方法

暂无“.Net防sql注入的几种方法”评论...

www.dyhadc.com 白云城资源网

129,905影音资源

244,626技术资源

111,817软件资源

578,645站长资源

RTX 5090要首发性能要翻倍！三星展示GDDR7显存

三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。

首次推出的GDDR7内存模块密度为16GB，每个模块容量为2GB。其速度预设为32 Gbps（PAM3），但也可以降至28 Gbps，以提高产量和初始阶段的整体性能和成本效益。
据三星表示，GDDR7内存的能效将提高20%，同时工作电压仅为1.1V，低于标准的1.2V。通过采用更新的封装材料和优化的电路设计，使得在高速运行时的发热量降低，GDDR7的热阻比GDDR6降低了70%。

更新日志

2025年11月01日

.Net防sql注入的几种方法

netsql注入,sql注入问题,.net防sql注入

.NET CORE中比较两个文件内容是否相同的最快方法

vs2015中mysql.h文件打不开的解决办法

评论“.Net防sql注入的几种方法”

RTX 5090要首发性能要翻倍！三星展示GDDR7显存

更新日志

友情链接

.Net防sql注入的几种方法

netsql注入,sql注入问题,.net防sql注入

.NET CORE中比较两个文件内容是否相同的最快方法

vs2015中mysql.h文件打不开的解决办法

评论“.Net防sql注入的几种方法”

RTX 5090要首发 性能要翻倍！三星展示GDDR7显存

更新日志

友情链接

RTX 5090要首发性能要翻倍！三星展示GDDR7显存