脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程ASP.NET实用技巧 → Asp.net 防注入

Aspx/Asp.net 防注入程序 V1.0

 更新时间:2009年10月03日 01:51:33   作者:  
asp下有人写了防注入的程序,这次看到了一个asp.net的特提供给大家参考。
虽然说ASP.NET属于安全性高的脚本语言,但是也经常看到ASP.NET网站由于过滤不严造成注射.由于ASP.NET基本上配合MMSQL数据库架设 如果权限过大的话很容易被攻击. 再者在网络上找不到好的ASP.NET防注射脚本,所以就自己写了个. 在这里共享出来旨在让程序员免除SQL注入的困扰.
我写了两个版本,VB.NET和C#版本方便不同程序间使用.
描述:
1. XP + IIS5.1 + Access + MSSQL2000 下测试通过。
2. 由于考虑到ASPX大多数和MSSQL数据库配合使用,在此增加了MSSQL关键字。
3. 放到数据库连接代码处即可,和ASP用法类似。
复制代码 代码如下:

public void JK1986_CheckSql()
{
string jk1986_sql = "exec夢select夢drop夢alter夢exists夢union夢and夢or夢xor夢order夢mid夢asc夢execute夢xp_cmdshell夢insert夢update夢delete夢join夢declare夢char夢sp_oacreate夢wscript.shell夢xp_regwrite夢'夢;夢--夢%";
string[] jk_sql = jk1986_sql.Split('夢');
foreach (string jk in jk_sql)
{
// -----------------------防 Post 注入-----------------------
if (Page.Request.Form != null)
{
for (int k = 0; k < Page.Request.Form.Count; k++)
{
string getsqlkey = Page.Request.Form.Keys[k];
string getip;
if (Page.Request.Form[getsqlkey].ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式:P O S T " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.Form[getsqlkey].ToLower() + "<br>");
Response.End();
}
}
}
// -----------------------防 GET 注入-----------------------
if (Page.Request.QueryString != null)
{
for (int k = 0; k < Page.Request.QueryString.Count; k++)
{
string getsqlkey = Page.Request.QueryString.Keys[k];
string getip;
if (Page.Request.QueryString[getsqlkey].ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长安全网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式:G E T " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.QueryString[getsqlkey].ToLower() + "<br>");
Response.End();
}
}
}
// -----------------------防 Cookies 注入-----------------------
if (Page.Request.Cookies != null)
{
for (int k = 0; k < Page.Request.Cookies.Count; k++)
{
string getsqlkey = Page.Request.Cookies.Keys[k];
string getip;
if (Page.Request.Cookies[getsqlkey].Value.ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长安全网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式: Cookies " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.Cookies[getsqlkey].Value.ToLower() + "<br>");
Response.End();
}
}
}
}
}
您可能感兴趣的文章:

相关文章

  • .NET中间件与VUE拦截器联合使用详情

    .NET中间件与VUE拦截器联合使用详情

    这篇文章主要介绍了.NET中间件与VUE拦截器联合使用详情,文章围绕主题展开详细的内容介绍,具有一定的参考价值,需要的小伙伴可以参考一下
    2022-07-07
  • ASP.NET Core针对一个使用HttpClient对象的类编写单元测试详解

    ASP.NET Core针对一个使用HttpClient对象的类编写单元测试详解

    这篇文章主要给大家介绍了关于ASP.NET Core中如何针对一个使用HttpClient对象的类编写单元测试的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-01-01
  • asp.net中virtual和abstract的区别分析

    asp.net中virtual和abstract的区别分析

    这篇文章主要介绍了asp.net中virtual和abstract的区别,较为详细的分析了virtual与abstract的概念与具体用法,并以实例的形式予以总结归纳,需要的朋友可以参考下
    2014-10-10
  • .NET中的DES对称加密详解

    .NET中的DES对称加密详解

    DES是一种对称加密(Data Encryption Standard)算法,于1977年得到的正式许可,是一种用56位密钥来加密64位数据的方法,一般密码长度为8个字节,其中56位加密密钥,每个第8位都用作奇偶校验
    2013-10-10
  • ASP.NET MVC的四种验证编程方式

    ASP.NET MVC的四种验证编程方式

    ASP.NET MVC采用Model绑定为目标Action生成了相应的参数列表,但是在真正执行目标Action方法之前,还需要对绑定的参数实施验证以确保其有效性,我们将针对参数的验证成为Model绑定,需要的朋友可以参考下
    2015-10-10
  • 后缀为 ashx 与 axd 的文件区别浅析

    后缀为 ashx 与 axd 的文件区别浅析

    其实扩展名为ashx与为axd基本上是一样的,都是用于写web handler,可以通过它来调用IHttpHandler类,它免去了普通.aspx页面的控件解析以及页面处理的过程。
    2013-07-07
  • asp.net获取网站绝对路径示例

    asp.net获取网站绝对路径示例

    在编写 ASP.NET 应用程序的时候,有时为了更好地进行控制静态文件的路径,如在模板页或者用户控件中设置js或者css文件的路径等,采用绝对路径是难免的。下面就是几种获取绝对路径的几种方法
    2014-02-02
  • ASP.NET Core 使用SignalR推送服务器日志的过程记录

    ASP.NET Core 使用SignalR推送服务器日志的过程记录

    这篇文章主要介绍了ASP.NET Core 使用SignalR推送服务器日志的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2024-01-01
  • Asp.net中把Excel数据存储至SQL Server中的具体实现方法

    Asp.net中把Excel数据存储至SQL Server中的具体实现方法

    Asp.net中把Excel数据存储至SQL Server中的具体实现方法,需要的朋友可以参考一下
    2013-06-06
  • 微软发布的Data Access Application Block的使用代码

    微软发布的Data Access Application Block的使用代码

    微软发布的Data Access Application Block的使用代码...
    2007-04-04

最新评论