62,074
社区成员
发帖
与我相关
我的任务
分享求助.net防注入代码
网站经常被注入,请问谁有实用点的防注入代码呢?.NET和SQLSERVER数据库的,本人不懂,望哪位朋友指点下我啊,万分感谢啊,我都愁死了
...全文
请发表友善的回复…
发表回复
Emm..... 2010-04-26
- 打赏
- 举报
学习学习~~~~~~
小广龙 2010-03-31
- 打赏
- 举报
16楼的我感觉比较全面的
小曦子 2009-01-05
- 打赏
- 举报
学习了...
flashlove2008 2009-01-05
- 打赏
- 举报
1:UI层过滤
2:DAL数据层过滤
3:全站(GLOABEL)
2:DAL数据层过滤
3:全站(GLOABEL)
g1y9d861213 2009-01-05
- 打赏
- 举报
UP
zhxhdean 2009-01-05
- 打赏
- 举报
[Quote=引用 21 楼 qq196260188 的回复:]
C# codeusing System;
namespace web.comm
{
/**//// <summary>
/// ProcessRequest 的摘要说明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
SQL注入式攻击代码分析#region SQL注入式攻击代码分析
/**//// <summary>
//…
[/Quote]
好东西,收藏了
C# codeusing System;
namespace web.comm
{
/**//// <summary>
/// ProcessRequest 的摘要说明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
SQL注入式攻击代码分析#region SQL注入式攻击代码分析
/**//// <summary>
//…
[/Quote]
好东西,收藏了
y165448805 2009-01-05
- 打赏
- 举报
学习来了
pb_stu 2009-01-05
- 打赏
- 举报
传参和替换敏感字符
rascalwm 2009-01-05
- 打赏
- 举报
sql语句不要用拼接字符串 用传参的方式
例如
select name from stuInfo where stuId=@id
用这种形式
例如
select name from stuInfo where stuId=@id
用这种形式
ysj52zqq 2009-01-05
- 打赏
- 举报
url 伪地址
sql语句 用存储过程
sql语句 用存储过程
sun_Ke 2009-01-05
- 打赏
- 举报
SQL语句不要用拼接的方式,用传参数的方式
wwwhhb4002 2009-01-05
- 打赏
- 举报
学习
wormwormwormworm 2009-01-05
- 打赏
- 举报
推荐使用Parameter
zhangzhicong 2009-01-05
- 打赏
- 举报
1。建议使用sqlhelper.cs,配合使用参数。
2。尽可能使用储存过程。
3。输入验证,不要让用户随意乱输入。
4。页面访问时验证是否已经是合法用户,是否有权限。
2。尽可能使用储存过程。
3。输入验证,不要让用户随意乱输入。
4。页面访问时验证是否已经是合法用户,是否有权限。
NqIceCoffee 2009-01-05
- 打赏
- 举报
1.推荐使用Parameter
2.如果要自己来做这件事,只需要做两步:1)如果是数字类型,则判断其是否为数字
2)如果是字符串,则替换一个单引号为两个单引号
2.如果要自己来做这件事,只需要做两步:1)如果是数字类型,则判断其是否为数字
2)如果是字符串,则替换一个单引号为两个单引号
mchaojie1 2009-01-05
- 打赏
- 举报
用Parameters方法最好。这方面的资料多的很。
glt3260053 2009-01-05
- 打赏
- 举报
1.查看和修改等的权限分离
2.过滤所有用户输入
3.把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令
4.用存储过程来执行所有的查询
5.完善用户输入的的长度和类型等验证
6.检查用户输入的合法性
7.将用户登录名称、密码等数据加密保存
2.过滤所有用户输入
3.把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令
4.用存储过程来执行所有的查询
5.完善用户输入的的长度和类型等验证
6.检查用户输入的合法性
7.将用户登录名称、密码等数据加密保存
蜗牛水里爬 2009-01-05
- 打赏
- 举报
好好看看DBhelp去
传参
传参传参传参传参
哪还有人写三层不用传参的啊~~~
传参
传参传参传参传参
哪还有人写三层不用传参的啊~~~
qq196260188 2009-01-04
- 打赏
- 举报
using System;
namespace web.comm
{
/**//// <summary>
/// ProcessRequest 的摘要说明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
SQL注入式攻击代码分析#region SQL注入式攻击代码分析
/**//// <summary>
/// 处理用户提交的请求
/// </summary>
public static void StartProcessRequest()
{
// System.Web.HttpContext.Current.Response.Write("<script>alert('dddd');</script>");
try
{
string getkeys = "";
//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0))
{
//System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1))
{
//System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.Write("<script>alert('请勿非法提交!');history.back();</script>");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 错误处理: 处理用户提交信息!
}
}
/**//// <summary>
/// 分析用户请求是否正常
/// </summary>
/// <param name="Str">传入用户提交数据</param>
/// <returns>返回是否含有SQL注入式攻击代码</returns>
private static bool ProcessSqlStr(string Str,int type)
{
string SqlStr;
if(type == 1)
SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";
else
SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";
bool ReturnValue = true;
try
{
if (Str != "")
{
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
hanyucq123 2009-01-04
- 打赏
- 举报
[Quote=引用 16 楼 H79469992 的回复:]
if (Request.Form.Count > 0)
{
string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称
if (Request.ServerVariables["HTTP_REFERER"] != null)
{
string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称
string s3 = "";
if (s1.Length > (s2.Length - 7))
{
s3 = s2.Substring(7);
}
else
{
s3 = s2.Substring(7, s1.Length);
}
if (s3 != s1)
{
Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");//
Response.End();
}
}
}
}
[/Quote]
为什么form提交还要用这种拦截方式呢?用替换不是更好吗?
我的做法是,get提交的用这种栏截方式,form提交的用替换,就是把危险字符替换掉,比如select我就换成SELECT。
我这 种做法有无不妥,其实我也不太确定,希望有高手能解答?
if (Request.Form.Count > 0)
{
string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称
if (Request.ServerVariables["HTTP_REFERER"] != null)
{
string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称
string s3 = "";
if (s1.Length > (s2.Length - 7))
{
s3 = s2.Substring(7);
}
else
{
s3 = s2.Substring(7, s1.Length);
}
if (s3 != s1)
{
Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");//
Response.End();
}
}
}
}
[/Quote]
为什么form提交还要用这种拦截方式呢?用替换不是更好吗?
我的做法是,get提交的用这种栏截方式,form提交的用替换,就是把危险字符替换掉,比如select我就换成SELECT。
我这 种做法有无不妥,其实我也不太确定,希望有高手能解答?
加载更多回复(19)
