当前位置：移动技术网 > IT编程>开发语言>c# > C#防SQL注入代码的三种方法

C#防SQL注入代码的三种方法

2019年07月18日 | 移动技术网IT编程 | 我要评论

对于网站的安全性，是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞，那势必将造成很大的损失。为了提高网站的安全性，首先网站要防注入，最重要的是服务器的安全设施要做到位。

　　下面说下网站防注入的几点要素。

　　一：丢弃sql语句直接拼接，虽然这个写起来很快很方便。

　　二：如果用sql语句，那就使用参数化，添加param

　　三：尽可能的使用存储过程，安全性能高而且处理速度也快

　　四：屏蔽sql,javascript等注入（很是主要的），对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法

　　c#防sql注入方法一

　　在web.config文件中， < appsettings>下面增加一个标签：如下

复制代码代码如下:

　　< appsettings>

　　< add key="safeparameters" value="orderid-int32,customeremail-email,shippingzipcode-uszip" />

　　< /appsettings>

　　其中key是 < saveparameters>后面的值为"orderid-int32"等，其中"-"前面表示参数的名称比如：orderid,后面的int32表示数据类型。

　　c#防sql注入方法二

　　在global.asax中增加下面一段：

复制代码代码如下:

　　protected void application_beginrequest（object sender, eventargs e）{

　　string[] safeparameters = system.configuration.configurationsettings.appsettings["safeparameters"].tostring（）。split（','）；

　　for（int i= 0 ;i < safeparameters.length; i++）{

　　string parametername = safeparameters[i].split（'-'）[0];

　　string parametertype = safeparameters[i].split（'-'）[1];

　　isvalidparameter（parametername, parametertype）；

　　}

　　public void isvalidparameter（string parametername, string parametertype）{

　　string parametervalue = request.querystring[parametername];

　　if（parametervalue == null） return;

　　if（parametertype.equals（"int32"））{

　　if（！parametercheck.isint（parametervalue）） response.redirect（"parametererror.aspx"）；

　　}

　　else if （parametertype.equals（"uszip"））{

　　if（！parametercheck.isuszip（parametervalue）） response.redirect（"parametererror.aspx"）；

　　}

　　else if （parametertype.equals（"email"））{

　　if（！parametercheck.isemail（parametervalue）） response.redirect（"parametererror.aspx"）；

　　}

　　c#防sql注入方法三

　　使用字符串过滤类

复制代码代码如下:

　　using system;

　　namespace web.comm

　　{

　　/**//// < summary>

　　/// processrequest 的摘要说明。

　　/// < /summary>

　　public class processrequest

　　{

　　public processrequest（）

　　{

　　// todo: 在此处添加构造函数逻辑

　　}

　　sql注入式攻击代码分析#region sql注入式攻击代码分析

复制代码代码如下:

　　/**//// < summary>

　　/// 处理用户提交的请求

　　/// < /summary>

　　public static void startprocessrequest（）

　　{

　　// system.web.httpcontext.current.response.write（"< script>alert（'dddd'）；< /script>"）；

　　try

　　{

　　string getkeys = "";

　　//string sqlerrorpage = system.configuration.configurationsettings.appsettings["customerrorpage"].tostring（）；

　　if （system.web.httpcontext.current.request.querystring != null）

　　{

　　for（int i=0;i< system.web.httpcontext.current.request.querystring.count;i++）

　　{

　　getkeys = system.web.httpcontext.current.request.querystring.keys[i];

　　if （！processsqlstr（system.web.httpcontext.current.request.querystring[getkeys],0））

　　{

　　//system.web.httpcontext.current.response.redirect （sqlerrorpage+"?errmsg=sqlserver&sqlprocess=true"）；

　　system.web.httpcontext.current.response.write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；

　　system.web.httpcontext.current.response.end（）；

　　}

　　if （system.web.httpcontext.current.request.form != null）

　　{

　　for（int i=0;i< system.web.httpcontext.current.request.form.count;i++）

　　{

　　getkeys = system.web.httpcontext.current.request.form.keys[i];

　　if （！processsqlstr（system.web.httpcontext.current.request.form[getkeys],1））

　　{

　　//system.web.httpcontext.current.response.redirect （sqlerrorpage+"?errmsg=sqlserver&sqlprocess=true"）；

　　system.web.httpcontext.current.response.write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；

　　system.web.httpcontext.current.response.end（）；

　　}

　　catch

　　{

　　// 错误处理：处理用户提交信息！

　　}

　　/**//// < summary>

　　/// 分析用户请求是否正常

　　/// < /summary>

　　/// < param name="str">传入用户提交数据< /param>

　　/// < returns>返回是否含有sql注入式攻击代码< /returns>

　　private static bool processsqlstr（string str,int type）

　　{

　　string sqlstr;

　　if（type == 1）

　　else

　　bool returnvalue = true;

　　try

　　{

　　if （str != ""）

　　{

　　string[] anysqlstr = sqlstr.split（'|'）；

　　foreach （string ss in anysqlstr）

　　{

　　if （str.indexof（ss）>=0）

　　{

　　returnvalue = false;

　　}

　　catch

　　{

　　returnvalue = false;

　　}

　　return returnvalue;

　　}

　　#endregion

　　}

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

C#连接Informix数据库的问题

引言informix 11 与之前版本的 informix 相比，新增了很多特性，如 sql 语句跟踪、非阻断的检查点、sds 辅节点、星型连接、自动存储扩展、... [阅读全文]
C#实现猜数字游戏

本文实例为大家分享了c#实现猜数字游戏具体代码，供大家参考，具体内容如下给定一个0-100的随机数字猜其大小题目样式：电脑产生一个0到100之间的随机数字，并且... [阅读全文]
使用Visual Studio2019创建C#项目(窗体应用程序、控制台应用程序、Web应用程序)

一、vs的开发环境首先你得安装了vs2019，然后确认下下面三个组件是否存在，如果没有要下载一下。vs2019的安装可参考。二、创建c#窗体应用程序打开vs可以... [阅读全文]
C# 可空类型的具体使用

在项目中我们经常会遇到可为空类型，那么到底什么是可为空类型呢？下面我们将从4个方面为大家剖析。1、可空类型基础知识顾名思义，可空类型指的就是某个对象类型可以为空... [阅读全文]
C#存储相同键多个值的Dictionary实例详解

涉及到两个问题：一、访问磁盘中文件夹、文件夹下面的文件夹先看一下磁盘文件夹结构c盘下面有个根文件夹savefile，savefile下面有两个子文件夹分别为，2... [阅读全文]
vs2019安装和使用详细图文教程

vs2019已经在4月2日正式发布，vs2019发布会请看这个链接：vs2019发布活动vs2019和vs2017一样强大，项目兼容，不用互相删除，而且c/c+... [阅读全文]
C#实现猜数字小游戏

本文实例为大家分享了c#实现猜数字小游戏的具体代码，供大家参考，具体内容如下效果如图：代码：using system;using system.collecti... [阅读全文]
Visual Studio 中自定义代码片段的方法

第一步、打开 visual studio code，按ctrl + shift + p，输入：configure user snippets，选择 prefer... [阅读全文]
C#实现简单俄罗斯方块

最近在看《.net游戏编程入门经典 c#篇》第一章介绍了如何制作俄罗斯方块，自己试了试按照书上的步骤，可算是完成了。于是写下这篇文章留作纪念。1.类的设计在充... [阅读全文]
C#实现获取本地内网(局域网)和外网(公网)IP地址的方法分析

本文实例讲述了c#实现获取本地内网(局域网)和外网(公网)ip地址的方法。分享给大家供大家参考，具体如下：1、获取本机的ip地址集合：/// <summa... [阅读全文]

网友评论


验证码：

C#防SQL注入代码的三种方法

2019年07月18日 | 移动技术网IT编程 | 我要评论

您可能感兴趣的文章:

相关文章:

网友评论