Asp.Net教程,WinForm教程,Asp.Net MVC,vs2008教程,vs2010教程,Silverlight技术,源码下载,Asp.Net视频教程
高级搜索|地图|TAG标签|RSS订阅|设为首页

ASP.NET学习网|ASP.NET教程|ASP.NET MVC|ASP.NET 源码|VS2010教程|ASP.NET视频教程

热门标签

全站热门标签
vs2010 Silverlight 存储过程 水晶报表 ADO.NET JavaScript LINQ AjaxPro DataGridView 面向对象 Extjs GridView XML DevExpress HTML教程 Oracle jQuery 分页 GDI+ Visual C++2010 MySQL Office2010 WPF MVC Dojo WCF4.0 VB.NET Sql2005 textbox cookie WCF WinForm Discuz!NT SQL经典语句 T-SQL checkbox ASPxGridView F# asp.net SQL VS2008新特性 DropDownList Access TreeView Ajax VS2008 页面执行时间 Flex 字符串 回调 VB2005 DataSet C#时间 ASP.NET性能优化 用户在线检测 动画
尚未分类 LINQ教程 Enterprise技术 性能优化/调试 水晶报表与打印 安全与加密 图形图像 文件处理 基础教程 Web Services 内置对象 控件示例 正则表达式\采集ADO.NET 缓存\泛型\线程 XML技术 Url重写\静态页 vs2008综合教程
当前位置: 主页 > ASP.NET教程 > ADO.NET >

ASP.NET防SQL注入通用源码

时间:2009-10-18 10:50来源:未知 作者:admin 点击:
private bool ProcessSqlStr(string Str)
{
   bool ReturnValue = true;
   try
   {
    if (Str != "")
    {
     string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
     string[] anySqlStr = SqlStr.Split('|');
     foreach (string ss in anySqlStr)
     {
      if (Str.IndexOf(ss)>=0)
      {
       ReturnValue = false;
      }
     }
    }
   }
   catch
   {
    ReturnValue = false;
   }
   return ReturnValue;
}
 
防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。
做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。
一、数据验证类:
parameterCheck.cs
     public class parameterCheck{
       public static bool isEmail(string emailString){
           return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['\\w_-]+([url=file://.%5B-//w_-%5D+)*@%5B-//w_-%5D+(//.%5B-//w_-%5D+)*//.%5Ba-zA-Z%5D%7B2,4]\\.['\\w_-]+)*@['\\w_-]+(\\.['\\w_-]+)*\\.[a-zA-Z]{2,4[/url]}");
       }
       public static bool isInt(string intString){
           return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^([url=file://d%7B5%7D-//d%7B4%7D)%7C(//d%7B5%7D)$]\\d{5}-\\d{4})|(\\d{5})$[/url]"); //我这边是用"^([url=file://d*)$/]\\d*)$[/url]"通过
       }
       public static bool isUSZip(string zipString){
           return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]+$");
       }
}
二、Web.config
在你的Web.config文件中,在<appSettings>下面增加一个标签:如下
<appSettings>
       <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip ,typename-string"/>
</appSettings>
其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称,比如:OrderId,后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段:
     protected void Application_BeginRequest(Object sender, EventArgs e){
       String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
       for(int i= 0 ;i < safeParameters.Length; i++){
           String parameterName = safeParameters.Split('-')[0];
           String parameterType = safeParameters.Split('-')[1];
           isValidParameter(parameterName, parameterType);
       }
}
public void isValidParameter(string parameterName, string parameterType){
       string parameterValue = Request.QueryString[parameterName];
       if(parameterValue == null) return;
       if(parameterType.Equals("int32")){
           if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
       }
       else if (parameterType.Equals("USzip")){
           if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
       }
       else if (parameterType.Equals("email")){
           if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
       }
    }
 
(责任编辑:admin)
Tags:SQL注入
责任编辑:admin
返回顶部
相关文章
------分隔线----------------------------
图文资讯
推荐内容
骆驼户外男 真皮磨砂日常休闲鞋 低帮 2011秋冬新款 专柜正品特价 骆驼户外男 真皮磨砂日常休闲鞋 低帮 2011秋冬新款 专柜正品特价
热点内容

Design 2009 September www.17aspx.com

Copyright © ASP.NET学习网(www.17aspx.com) 版权所有
鄂ICP备11008191号