当前位置: 移动技术网 > IT编程>开发语言>.net > c#.net全站防止SQL注入类的代码

c#.net全站防止SQL注入类的代码

2017年12月12日  | 移动技术网IT编程  | 我要评论

中国梦想秀20130429,苍穹神剑txt下载,完美拍档

复制代码 代码如下:

using system;
using system.collections.generic;
using system.linq;
using system.web;

/// <summary>
/// 防sql注入检查器
/// </summary>
public class sqlchecker
{
    //当前请求对象
    private httprequest request;
    //当前响应对象
    private httpresponse response;
    //安全url,当出现sql注入时,将导向到的安全页面,如果没赋值,则停留在当前页面
    private string safeurl = string.empty;

    //sql注入时,可能出现的sql关键字,可根据自己的实际情况进行初始化,每个关键字由'|'分隔开来
    //private const string strkeyword = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
    private const string strkeyword = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and";
    //sql注入时,可能出现的特殊符号,,可根据自己的实际情况进行初始化,每个符号由'|'分隔开来
    //private const string strregex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
    private const string strregex = @"=|!|'";
    public sqlchecker()
    {
        //
        // todo: 在此处添加构造函数逻辑
        //
    }
    /// <summary>
    /// 由此构造函数创建的对象,在验证sql注入之后将停留在原来页面上
    /// </summary>
    /// <param name="_request">当前请求的 request 对象</param>
    /// <param name="_response">当前请求的 response 对象</param>
    public sqlchecker(httprequest _request, httpresponse _response)
    {
        this.request = _request;
        this.response = _response;
    }
    /// <summary>
    /// 由此构造函数创建的对象,在验证sql注入之后将请求将导向由 _safeurl 指定的安全url页面上
    /// </summary>
    /// <param name="_request">当前请求的 request 对象</param>
    /// <param name="_response">当前请求的 response 对象</param>
    /// <param name="_safeurl">验证sql注入之后将导向的安全 url</param>
    public sqlchecker(httprequest _request, httpresponse _response, string _safeurl)
    {
        this.request = _request;
        this.response = _response;
        this.safeurl = _safeurl;
    }
    /// <summary>
    /// 只读属性 sql关键字
    /// </summary>
    public string keyword
    {
        get
        {
            return strkeyword;
        }
    }
    /// <summary>
    /// 只读属性过滤特殊字符
    /// </summary>
    public string regexstring
    {
        get
        {
            return strregex;
        }
    }
    /// <summary>
    /// 当出现sql注入时需要提示的错误信息(主要是运行一些客户端的脚本)
    /// </summary>
    public string msg
    {
        get
        {
            string msg = "<script type='text/javascript'> "
            + " alert('请勿输入非法字符!'); ";

            if (this.safeurl == string.empty)
                msg += " window.location.href = '" + request.rawurl + "'";
            else
                msg += " window.location.href = '" + safeurl + "'";

            msg += "</script>";
            return msg;
        }
    }
    /// <summary>
    /// 检查url参数中是否带有sql注入的可能关键字。
    /// </summary>
    /// <returns>存在sql注入关键字时返回 true,否则返回 false</returns>
    public bool checkrequestquery()
    {
        bool result = false;
        if (request.querystring.count != 0)
        {
            //若url中参数存在,则逐个检验参数。
            foreach (string queryname in this.request.querystring)
            {
                //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
                if (queryname == "__viewstate" || queryname == "__eventvalidation")
                    continue;
                //开始检查请求参数值是否合法
                if (checkkeyword(request.querystring[queryname]))
                {
                    //只要存在一个可能出现sql注入的参数,则直接退出
                    result = true;
                    break;
                }
            }
        }
        return result;
    }
    /// <summary>
    /// 检查提交表单中是否存在sql注入的可能关键字
    /// </summary>
    /// <returns>存在sql注入关键字时返回 true,否则返回 false</returns>
    public bool checkrequestform()
    {
        bool result = false;
        if (request.form.count > 0)
        {
            //若获取提交的表单项个数不为0,则逐个比较参数
            foreach (string queryname in this.request.form)
            {
                //过虑一些特殊的请求状态值,主要是一些有关页面视图状态的参数
                if (queryname == "__viewstate" || queryname == "__eventvalidation")
                    continue;
                //开始检查提交的表单参数值是否合法
                if (checkkeyword(request.form[queryname]))
                {
                    //只要存在一个可能出现sql注入的参数,则直接退出
                    result = true;
                    break;
                }
            }
        }
        return result;
    }
    /// <summary>
    /// 检查_sword是否包涵sql关键字
    /// </summary>
    /// <param name="_sword">需要检查的字符串</param>
    /// <returns>存在sql注入关键字时返回 true,否则返回 false</returns>
    public bool checkkeyword(string _sword)
    {
        bool result = false;
        //模式1 : 对应sql注入的可能关键字
        string[] patten1 = strkeyword.split('|');
        //模式2 : 对应sql注入的可能特殊符号
        string[] patten2 = strregex.split('|');
        //开始检查 模式1:sql注入的可能关键字 的注入情况
        foreach (string sqlkey in patten1)
        {
            if (_sword.indexof(" " + sqlkey) >= 0 || _sword.indexof(sqlkey + " ") >= 0)
            {
                //只要存在一个可能出现sql注入的参数,则直接退出
                result = true;
                break;
            }
        }
        //开始检查 模式1:sql注入的可能特殊符号 的注入情况
        foreach (string sqlkey in patten2)
        {
            if (_sword.indexof(sqlkey) >= 0)
            {
                //只要存在一个可能出现sql注入的参数,则直接退出
                result = true;
                break;
            }
        }
        return result;
    }
    /// <summary>
    /// 执行sql注入验证
    /// </summary>
    public void check()
    {
        if (checkrequestquery() || checkrequestform())
        {
            response.write(msg);
            response.end();
        }
    }
}

使用说明 :

复制代码 代码如下:

// 使用时可以根据需要决定是要进行全局性(即针对整个应用程序)的sql注入检查
// ,还是局部性(即在针对某个页面)的sql注入检查


/*=========== 全局性设置:在global.asax.cs 中加上以下代码 =============

protected void application_beginrequest(object sender, eventargs e)
{
sqlchecker sqlchecker = new sqlchecker(this.request,this.response);
//或 sqlchecker sqlchecker = new sqlchecker(this.request,this.response,safeurl);
sqlchecker.check();
}
 

/*============ 局部性:在任何时候都可直接用以下代码来实现sql注入检验 ===============

sqlchecker sqlchecker = new sqlchecker(this.request,this.response);
//或 sqlchecker sqlchecker = new sqlchecker(this.request,this.response,safeurl);
sqlchecker.check();

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网