C#防SQL注入代码的三种方法

更新时间：2014年01月18日 15:56:19 作者：

这篇文章主要介绍了C#防SQL注入代码的三种方法，有需要的朋友可以参考一下

对于网站的安全性，是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞，那势必将造成很大的损失。为了提高网站的安全性，首先网站要防注入，最重要的是服务器的安全设施要做到位。

　　下面说下网站防注入的几点要素。

　　一：丢弃SQL语句直接拼接，虽然这个写起来很快很方便。

　　二：如果用SQL语句，那就使用参数化，添加Param

　　三：尽可能的使用存储过程，安全性能高而且处理速度也快

　　四：屏蔽SQL,javascript等注入（很是主要的），对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法

　　C#防SQL注入方法一

　　在Web.config文件中， < appSettings>下面增加一个标签：如下

复制代码代码如下:

　　< appSettings>

　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />

　　< /appSettings>

　　其中key是 < saveParameters>后面的值为"OrderId-int32"等，其中"-"前面表示参数的名称比如：OrderId,后面的int32表示数据类型。

　　C#防SQL注入方法二

　　在Global.asax中增加下面一段：

复制代码代码如下:

　　protected void Application_BeginRequest（Object sender, EventArgs e）{

　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（','）；

　　for（int i= 0 ;i < safeParameters.Length; i++）{

　　String parameterName = safeParameters[i].Split（'-'）[0];

　　String parameterType = safeParameters[i].Split（'-'）[1];

　　isValidParameter（parameterName, parameterType）；

　　}

　　public void isValidParameter（string parameterName, string parameterType）{

　　string parameterValue = Request.QueryString[parameterName];

　　if（parameterValue == null） return;

　　if（parameterType.Equals（"int32"））{

　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；

　　}

　　else if （parameterType.Equals（"USzip"））{

　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；

　　}

　　else if （parameterType.Equals（"email"））{

　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；

　　}

　　C#防SQL注入方法三

　　使用字符串过滤类

复制代码代码如下:

　　using System;

　　namespace web.comm

　　{

　　/**//// < summary>

　　/// ProcessRequest 的摘要说明。

　　/// < /summary>

　　public class ProcessRequest

　　{

　　public ProcessRequest（）

　　{

　　// TODO: 在此处添加构造函数逻辑

　　}

　　SQL注入式攻击代码分析#region SQL注入式攻击代码分析

复制代码代码如下:

　　/**//// < summary>

　　/// 处理用户提交的请求

　　/// < /summary>

　　public static void StartProcessRequest（）

　　{

　　// System.Web.HttpContext.Current.Response.Write（"< script>alert（'dddd'）；< /script>"）；

　　try

　　{

　　string getkeys = "";

　　//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString（）；

　　if （System.Web.HttpContext.Current.Request.QueryString != null）

　　{

　　for（int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++）

　　{

　　getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.QueryString[getkeys],0））

　　{

　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；

　　System.Web.HttpContext.Current.Response.Write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；

　　System.Web.HttpContext.Current.Response.End（）；

　　}

　　if （System.Web.HttpContext.Current.Request.Form != null）

　　{

　　for（int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++）

　　{

　　getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.Form[getkeys],1））

　　{

　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；

　　System.Web.HttpContext.Current.Response.Write（"< script>alert（'请勿非法提交！'）；history.back（）；< /script>"）；

　　System.Web.HttpContext.Current.Response.End（）；

　　}

　　catch

　　{

　　// 错误处理：处理用户提交信息！

　　}

　　/**//// < summary>

　　/// 分析用户请求是否正常

　　/// < /summary>

　　/// < param name="Str">传入用户提交数据< /param>

　　/// < returns>返回是否含有SQL注入式攻击代码< /returns>

　　private static bool ProcessSqlStr（string Str,int type）

　　{

　　string SqlStr;

　　if（type == 1）

　　else

　　bool ReturnValue = true;

　　try

　　{

　　if （Str != ""）

　　{

　　string[] anySqlStr = SqlStr.Split（'|'）；

　　foreach （string ss in anySqlStr）

　　{

　　if （Str.IndexOf（ss）>=0）

　　{

　　ReturnValue = false;

　　}

　　catch

　　{

　　ReturnValue = false;

　　}

　　return ReturnValue;

　　}

　　#endregion

　　}

您可能感兴趣的文章:

c#实现适配器模式的项目实践
适配器模式将一个类的接口转换成客户希望的另一个接口,使得原本由于接口不兼容而不能一起工作的那些类可以一起工作,本文主要介绍了c#实现适配器模式的项目实践,感兴趣的可以一起来了解一下
2023-08-08
C#导出Excel的方法
本文给大家分享的是基于.net 1.0开发的程序如何实现导出Excel的方法和示例，使用的是UltraWebGrid自带导出Excel的控件，非常的简单实用，有需要的小伙伴可以参考下。
2015-06-06
C#中List.Contains(T)失效的解决方法
这篇文章主要介绍了C#中List.Contains(T)失效的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2024-03-03
C#实现计算器窗体程序
这篇文章主要为大家详细介绍了C#实现计算器窗体程序，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-01-01
C#模板方法模式(Template Method Pattern)实例教程
这篇文章主要介绍了C#模板方法模式(Template Method Pattern),以实例形式讲述了C#抽象类模板方法的用法,具有很高的实用价值,需要的朋友可以参考下
2014-09-09
C#中常用的正则表达式
本文主要介绍了C#中常用的正则表达式。具有一定的参考价值，下面跟着小编一起来看下吧
2017-01-01
关于System.Convert的那些事儿
本篇文章是对System.Convert的那些事儿，进行了详细的分析介绍，需要的朋友参考下
2013-05-05
C# Winform自动更新程序实例详解
这篇文章主要为大家详细介绍了C# Winform 自动更新程序实例，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-12-12
C#设计模式之工厂模式
本文详细讲解了C#设计模式之工厂模式，文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-03-03
c# 进程内部的同步
这篇文章主要介绍了c# 进程内部的同步，帮助大家更好的理解和学习c#，感兴趣的朋友可以了解下
2020-10-10