在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)_实用技巧

首先,创建一个SQLInjectionHelper类完成恶意代码的检查
代码如下

复制代码 代码如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;
/// <summary>
///SQLInjectionHelper 的摘要说明
/// </summary>
public class SQLInjectionHelper
{
/// <summary>
/// 获取Post的数据
/// </summary>
/// <param name="request"></param>
/// <returns></returns>
public static bool ValidUrlData(string request)
{
bool result = false;
if (request == "POST")
{
for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
{
result = ValidData(HttpContext.Current.Request.Form[i].ToString());
if (result)
{
break;
}
}
}
else
{
for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
{
result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());
if (result)
{
break;
}
}
}
return result;
}
/// <summary>
/// 验证是否存在注入代码
/// </summary>
/// <param name="inputData"></param>
/// <returns></returns>
private static bool ValidData(string inputData)
{
//验证inputData是否包含恶意集合
if (Regex.IsMatch(inputData, GetRegexString()))
{
return true;
}
else
{
return false;
}
}
/// <summary>
/// 获取正则表达式
/// </summary>
/// <returns></returns>
private static string GetRegexString()
{
//构造SQL的注入关键字符
string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };
string str_Regex = ".*(";
for (int i = 0; i < strChar.Length - 1; i++)
{
str_Regex += strChar[i] + "|";
}
str_Regex += strChar[strChar.Length - 1] + ").*";
return str_Regex;
}
}

有此类后即可使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件来实现表单或者URL提交数据的获取,获取后传给SQLInjectionHelper类ValidUrlData方法来完成检查
代码如下

复制代码 代码如下:

protected void Application_BeginRequest(object sender, EventArgs e)
{
bool result = false;
result = SQLInjectionHelper.ValidUrlData(Request.RequestType.ToUpper());
if (result)
{
Response.Write("您提交的数据有恶意字符");
Response.End();
}
}

下面以一个小程序测试
创建一个页面,如下

复制代码 代码如下:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>
<br />
<asp:Button ID="btnPost" runat="server" Text="获取Post数据"
onclick="btnPost_Click" />
</div>
<asp:Button ID="btnGet" runat="server" Text="获取Get数据" onclick="btnGet_Click" />
</form>
</body>
</html>

分别添加单击事件,如下

复制代码 代码如下:

protected void btnPost_Click(object sender, EventArgs e)
{
}
protected void btnGet_Click(object sender, EventArgs e)
{
Response.Redirect("Default.aspx?a=1&b=2&c=3");
}

在文本框中输入非法字符串,无论post请求还是get请求,都会被防SQL注入程序所截获

                      图1 测试防SQL注入程序的页面

                               图2 错误信息

时间: 2024-12-24 20:51:08

在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)_实用技巧的相关文章

Web系统通过EXE文件实现读取客户电脑MAC等硬件信息且兼容非IE浏览器_实用技巧

对于一般情况来说,我们用得最多的可能是使用ActiveX控件的方法来实现,但此方案只适用于IE浏览器.为了能兼容不同的浏览器,如FireFox等,我们就需要考虑到一种比较通用的方法.此方法我们可以参考"在很多网站中,会在网页的某个地方给一个链接来直接启动QQ来聊天".这种方法可以实现Web系统来调用客户端电脑的某个exe文件(前提是在客户端必须安装需调用的exe应用程序).QQ的解决方法是采用在OS中注册一种自定义的协议,如:tencent://message/?uin=8888888

asp.net 大文件上传 之 改版了的SlickUpload.HttpUploadModule(Krystalware.SlickUpload.dll)_实用技巧

/200905/yuanma/SlickUpload.rar/200905/yuanma/Krystalware.SlickUpload.rar 复制代码 代码如下: using System; using System.Collections; using System.ComponentModel; using System.Data; using System.Drawing; using System.Web; using System.Web.SessionState; using S

asp.net 文件上传与刷新与asp.net页面与iframe之间的数据传输_实用技巧

具体我们如何实现文件的异步刷新,目前网上已经有了很多文章来解决这个问题,但是会用到大量的javascript,由于本人编码功力尚浅,所以之今没有高清其中的所以然,但是在解决的方案中他们貌似都用到了iframe,这让我茅塞顿开,所以我就说说用这个处理刷新的思路. 首先一个实际的页面中往往是会有较多的内容,我们暂时把它分为A,B两个区域,A区域是内容区域,我们可以用updatepanel来实现异步刷新,B区域是上传区域,我们用div已经ifame占位,其中上传的具体功能实现我们可以放到C页面中,这样

开源-asp.net生成的网页内容,怎么只有一个Global.asax文件,没有其他的启动文件呢

问题描述 asp.net生成的网页内容,怎么只有一个Global.asax文件,没有其他的启动文件呢 因为是开源的项目,我在IIS里把Global.asax设置成默认文档了,启动时还是提示我没有建立对应的映射,不设置呢,打开页面时又提示"没有为请求的 URL 配置默认文档,并且没有在服务器上启用目录浏览",这种状况要如何设置,或者说设置哪个文件为启动文件,好能正确打开页面? Global.asax内容为下: <%@ Application Codebehind="Glo

aspx 页面 添加Global.asax 文件 后问题

问题描述 aspx页面单机第一个页面时在窗体加载的Page_Load方法里Thread.Sleep(1000000);这时候再单机第二个页面的链接问题:不添加加Global.asax文件时立即跳到第二个页面,添加后一定要等第一个页面加载完后才跳怎样才能在添加加Global.asax文件后单机立即就跳第二个页面 解决方案 本帖最后由 sinat_31843925 于 2015-12-29 15:17:46 编辑解决方案二: global里面写的是什么?解决方案三: 什么也没写,就是新建一个

使用ASP.NET Global.asax 文件

asp.net Global.asax 文件,有时候叫做 ASP.NET 应用程序文件,提供了一种在一个中心位置响应应用程序级或模块级事件的方法.你可以使用这个文件实现应用程序安全性以及其它一些任务.下面让我们详细看一下如何在应用程序开发工作中使用这个文件. 概述 Global.asax 位于应用程序根目录下.虽然 Visual Studio .NET 会自动插入这个文件到所有的 ASP.NET 项目中,但是它实际上是一个可选文件.删除它不会出问题--当然是在你没有使用它的情况下..asax 文

ASP.NET中Global.asax文件的使用

Global.asax 文件,有时候叫做 ASP.NET 应用程序文件,提供了一种在一个中心位置响应应用程序级或模块级事件的方法.你可以使用这个文件实现应用程序安全性以及其它一些任务.下面让我们详细看一下如何在应用程序开发工作中使用这个文件. 概述 Global.asax 位于应用程序根目录下.虽然 Visual Studio .NET 会自动插入这个文件到所有的 ASP.NET 项目中,但是它实际上是一个可选文件.删除它不会出问题--当然是在你没有使用它的情况下..asax 文件扩展名指出它是

ASP.NET中使用Global.asax文件

  Global.asax 文件,有时候叫做 ASP.NET 应用程序文件,提供了一种在一个中心位置响应应用程序级或模块级事件的方法.你可以使用这个文件实现应用程序安全性以及其它一些任务.下面让我们详细看一下如何在应用程序开发工作中使用这个文件. 概述 Global.asax 位于应用程序根目录下.虽然 Visual Studio .NET 会自动插入这个文件到所有的 ASP.NET 项目中,但是它实际上是一个可选文件.删除它不会出问题--当然是在你没有使用它的情况下..asax 文件扩展名指出

ASP.net全局程序文件Global.asax用法分析_实用技巧

本文详细讲述了ASP.net全局程序文件Global.asax用法,分享给大家供大家参考.具体分析如下: 一般来说ASP.NET应用程序只能有一个Global.asax文件,该文件支持许多项.具体分析如下: •Application_Start:在应用程序接收到第一个请求时调用,这是在应用程序中给应用程序级的变量赋值或指定对所有用户必须保持的状态的理想位置. •  Session_Start:类似于Application_Start事件,但这个事件在用户第一次访问应用程序时调用.例如,Appli