c。net全站防止SQL注入类的代码
c#.net全站防止SQL注入类的代码,需要的朋友可以参考一下
闲言碎语先不谈,上代码,
我这个是在Web项目,首先先创建SqlChecker类,用于校验前端传到后台所有请求中的过滤
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace Web { public class SqlChecker { //当前请求对象 private HttpRequest request; //当前响应对象 private HttpResponse response; //安全Url,当出现Sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面 private string safeUrl = String.Empty; //Sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由"|"分隔开来 //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and"; private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and"; //Sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由"|"分隔开来 private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|""; //private const string StrRegex = @"=|!|""; public SqlChecker() { // // TODO: 在此处添加构造函数逻辑 // } /// /// 由此构造函数创建的对象,在验证Sql注入之后将停留在原来页面上 /// /// 当前请求的 Request 对象 /// 当前请求的 Response 对象 public SqlChecker(HttpRequest _request, HttpResponse _response) { this.request = _request; this.response = _response; } /// /// 由此构造函数创建的对象,在验证Sql注入之后将请求将导向由 _safeUrl 指定的安全url页面上 /// /// 当前请求的 Request 对象 /// 当前请求的 Response 对象 /// 验证Sql注入之后将导向的安全 url public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl) { this.request = _request; this.response = _response; this.safeUrl = _safeUrl; } /// /// 只读属性 SQL关键字 /// public string KeyWord { get { return StrKeyWord; } } /// /// 只读属性过滤特殊字符 /// public string RegexString { get { return StrRegex; } } /// /// 当出现Sql注入时需要提示的错误信息(主要是运行一些客户端的脚本) /// public string Msg { get { string msg = ""; return msg; } } /// /// 检查URL参数中是否带有SQL注入的可能关键字。 /// /// 存在SQL注入关键字时返回 true,否则返回 false public bool CheckRequestQuery() { bool result = false; if (request.QueryString.Count != 0) { //若URL中参数存在,则逐个检验参数。 foreach (string queryName in this.request.QueryString) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查请求参数值是否合法 if (CheckKeyWord(request.QueryString[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// /// 检查提交表单中是否存在SQL注入的可能关键字 /// /// 存在SQL注入关键字时返回 true,否则返回 false public bool CheckRequestForm() { bool result = false; if (request.Form.Count > 0) { //若获取提交的表单项个数不为0,则逐个比较参数 foreach (string queryName in this.request.Form) { //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数 if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION") continue; //开始检查提交的表单参数值是否合法 if (CheckKeyWord(request.Form[queryName])) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } } return result; } /// /// 检查_sword是否包涵SQL关键字 /// /// 需要检查的字符串 /// 存在SQL注入关键字时返回 true,否则返回 false public bool CheckKeyWord(string _sWord) { bool result = false; //模式1 : 对应Sql注入的可能关键字 string[] patten1 = StrKeyWord.Split("|"); //模式2 : 对应Sql注入的可能特殊符号 string[] patten2 = StrRegex.Split("|"); //开始检查 模式1:Sql注入的可能关键字 的注入情况 foreach (string sqlKey in patten1) { if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } //开始检查 模式1:Sql注入的可能特殊符号 的注入情况 foreach (string sqlKey in patten2) { if (_sWord.IndexOf(sqlKey) >= 0) { //只要存在一个可能出现Sql注入的参数,则直接退出 result = true; break; } } return result; } /// /// 执行Sql注入验证 /// public void Check() { if (CheckRequestQuery() || CheckRequestForm()) { response.Write(Msg); response.End(); } } } }
创建好SqlChecker后,就要考虑在那个地方使用。下面说全局性设置使用:
在Global.asax.cs中找到Application_BeginRequest,如果找不到Global.asax 也可Ctrl+F进行搜索,
范围可以选择【整个解决方案】点击 进行查找。
具体代码如下:
protected void Application_BeginRequest(object sender, EventArgs e) { SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check(); }
局部性设置使用,在具体的Colltroller的方法里加入: SqlChecker SqlChecker = new SqlChecker(this.Request, this.Response); //或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl); SqlChecker.Check();
以上就是C#.net防止SQL注入的代码,如果有些关键字和特殊符号不想加在过滤中可以自定义SqlChecker类的StrKeyWord变量和StrRegex变量
河南人喝酒必上的四道硬菜,好吃不贵简单美味,老酒鬼的最爱一提到河南的下酒菜,我的脑袋里就会浮现出这样一幅景象。傍晚,昏黄的夕阳,洒进老居民楼的旧房子里。穿着短裤背心的父亲,坐在桌子旁。一口菜,一口酒,好不快活。父亲爱喝酒,还爱吃下酒菜,婴儿出生的体重暗示着智商的高低,有关研究越接近这个数字越聪明导语孩子出生时的体重,暗示着智商的高低,科学研究发现,出生时这个体重的孩子,智商更高哦。01hr前段时间,办公室同事生下了一个9斤重的大胖儿子,比女儿出生时,体重足足重了近3斤,身内地情史干净的6位美人,个个嫁给初恋,出道多年零绯闻很多人对娱乐圈的印象不好,认为娱乐圈太乱。经常有明星爆出绯闻丑闻,让吃瓜群众目不暇接,唏嘘不已。其实,娱乐圈也有不少优秀低调的明星,洁身自好,静守本心,不炒作无绯闻。之前小橘已经为百万主播带六万粉丝砍拼多多失败,第二天却收到优惠券?想必大家都有过被几百年不联系的朋友要求帮忙砍拼多多的经历。3。17号,一个名字叫做超级小桀的游戏主播,在自己的直播间做了一场实验。和观看直播的粉丝们一起砍一个商品,看看最后到底能不易建联伤势出炉!杜锋大脑技术台!粉丝建议道歉禁赛罚款嗨喽大家好,欢迎收听啊炜聊体育!时至北京时间3月22日,CBA常规赛也完美收官啦。在此恭喜进入季后赛的十二支球队,希望他们在接下来的季后赛大放光彩,同时,也要鼓励没有进入前12名的凌晨6点!法国媒体做出争议报道梅西姆巴佩很意外,球迷骂声一片北京时间3月23日凌晨6点,欧洲联赛传来最新消息,日前,针对大巴黎的情况,法国媒体RMC做出争议报道,他们表示巴黎圣日耳曼更衣室氛围越来越紧张,内部现在分裂成了两大派系,而这样的爆真香男孩王境泽,相亲节目狂撩女嘉宾,如今真的大变样了吗?你可能没听过王境泽这个名字,但你一定听过这句真香。七年前参加变形记,王境泽上一秒还誓死不吃一口饭。可下一秒端起饭碗狼吞虎咽起来,简直便啪啪打脸。凭借这句真香爆火全网,七年后的王境泽阿曼媒体布下迷魂阵,妄图影响中国队阿曼媒体报道的国家队大部分是年轻球员不真实,准备与越南和中国比赛的阿曼队只有2名23岁以下的球员。阿曼队没有像这个国家的媒体所说的那样,将与中国队的比赛视为培养年轻球员的机会。从与演员陶虹眼看着老公跟人传绯闻,她的抉择让人又气又不解什么叫出轨?我觉得肉体上的事,那都不叫个事!2016年9月21日的节目金星秀中,陶虹对金星莞尔一笑,说出了这样的吓人一跳的名句。听到陶虹这样说,纵然是一向快人快语的金星显然也被雷到演员胡军与刘嘉玲两度传绯闻,和卢芳恩爱的背后,有艰辛和泪水关注我,每天带来名人感动的故事!胡军,是一个不可多得的实力派演员,曾主演过天龙八部建国大业十月围城救火英雄一江春水向东流等等作品,获得过中国电视金鹰奖观众喜爱的电视剧男演员奖香港电高原与王菲争爱,却与窦唯不到两年就离婚,今52岁仍单身一hr1970年高原出生于贵州大山里,在她三个月的时候母亲把她带到了北京!高原的父亲高飞是著名演员,在高原10岁的时候,她的父亲高飞就因为与日本著名女演员栗原小卷一个出演电视剧望乡