快捷導(dǎo)航

Aspx/Asp.net 防注入程序 V1.0

更新時(shí)間：2009年10月03日 01:51:33 作者：

asp下有人寫了防注入的程序，這次看到了一個(gè)asp.net的特提供給大家參考。

雖然說(shuō)ASP.NET屬于安全性高的腳本語(yǔ)言,但是也經(jīng)?？吹紸SP.NET網(wǎng)站由于過(guò)濾不嚴(yán)造成注射.由于ASP.NET基本上配合MMSQL數(shù)據(jù)庫(kù)架設(shè) 如果權(quán)限過(guò)大的話很容易被攻擊. 再者在網(wǎng)絡(luò)上找不到好的ASP.NET防注射腳本,所以就自己寫了個(gè). 在這里共享出來(lái)旨在讓程序員免除SQL注入的困擾.
我寫了兩個(gè)版本,VB.NET和C#版本方便不同程序間使用.
描述:
1. XP + IIS5.1 + Access + MSSQL2000 下測(cè)試通過(guò)。
2. 由于考慮到ASPX大多數(shù)和MSSQL數(shù)據(jù)庫(kù)配合使用，在此增加了MSSQL關(guān)鍵字。
3. 放到數(shù)據(jù)庫(kù)連接代碼處即可，和ASP用法類似。

復(fù)制代碼代碼如下:

public void JK1986_CheckSql() 
{ 
string jk1986_sql = "exec夢(mèng)select夢(mèng)drop夢(mèng)alter夢(mèng)exists夢(mèng)union夢(mèng)and夢(mèng)or夢(mèng)xor夢(mèng)order夢(mèng)mid夢(mèng)asc夢(mèng)execute夢(mèng)xp_cmdshell夢(mèng)insert夢(mèng)update夢(mèng)delete夢(mèng)join夢(mèng)declare夢(mèng)char夢(mèng)sp_oacreate夢(mèng)wscript.shell夢(mèng)xp_regwrite夢(mèng)'夢(mèng);夢(mèng)--夢(mèng)%"; 
string[] jk_sql = jk1986_sql.Split('夢(mèng)'); 
foreach (string jk in jk_sql) 
{ 
// -----------------------防 Post 注入----------------------- 
if (Page.Request.Form != null) 
{ 
for (int k = 0; k < Page.Request.Form.Count; k++) 
{ 
string getsqlkey = Page.Request.Form.Keys[k]; 
string getip; 
if (Page.Request.Form[getsqlkey].ToLower().Contains(jk) == true) 
{ 
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站長(zhǎng)網(wǎng)提示您，請(qǐng)勿提交非法字符！↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>"); 
Response.Write("非法操作！系統(tǒng)做了如下記錄 ↓" + "<br>"); 
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null ) 
{ 
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
} 
else 
{ 
getip = Page.Request.ServerVariables["REMOTE_ADDR"]; 
} 
Response.Write("操 作 I P ：" + getip + "<br>"); 
Response.Write("操 作 時(shí) 間：" + DateTime.Now.ToString() + "<br>"); 
Response.Write("操 作 頁(yè) 面：" + Page.Request.ServerVariables["URL"] + "<br>"); 
Response.Write("提 交 方 式：P O S T " + "<br>"); 
Response.Write("提 交 參 數(shù)：" + jk + "<br>"); 
Response.Write("提 交 數(shù) 據(jù)：" + Page.Request.Form[getsqlkey].ToLower() + "<br>"); 
Response.End(); 
} 
} 
} 
// -----------------------防 GET 注入----------------------- 
if (Page.Request.QueryString != null) 
{ 
for (int k = 0; k < Page.Request.QueryString.Count; k++) 
{ 
string getsqlkey = Page.Request.QueryString.Keys[k]; 
string getip; 
if (Page.Request.QueryString[getsqlkey].ToLower().Contains(jk) == true) 
{ 
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站長(zhǎng)安全網(wǎng)提示您，請(qǐng)勿提交非法字符！↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>"); 
Response.Write("非法操作！系統(tǒng)做了如下記錄 ↓" + "<br>"); 
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null ) 
{ 
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
} 
else 
{ 
getip = Page.Request.ServerVariables["REMOTE_ADDR"]; 
} 
Response.Write("操 作 I P ：" + getip + "<br>"); 
Response.Write("操 作 時(shí) 間：" + DateTime.Now.ToString() + "<br>"); 
Response.Write("操 作 頁(yè) 面：" + Page.Request.ServerVariables["URL"] + "<br>"); 
Response.Write("提 交 方 式：G E T " + "<br>"); 
Response.Write("提 交 參 數(shù)：" + jk + "<br>"); 
Response.Write("提 交 數(shù) 據(jù)：" + Page.Request.QueryString[getsqlkey].ToLower() + "<br>"); 
Response.End(); 
} 
} 
} 
// -----------------------防 Cookies 注入----------------------- 
if (Page.Request.Cookies != null) 
{ 
for (int k = 0; k < Page.Request.Cookies.Count; k++) 
{ 
string getsqlkey = Page.Request.Cookies.Keys[k]; 
string getip; 
if (Page.Request.Cookies[getsqlkey].Value.ToLower().Contains(jk) == true) 
{ 
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站長(zhǎng)安全網(wǎng)提示您，請(qǐng)勿提交非法字符！↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>"); 
Response.Write("非法操作！系統(tǒng)做了如下記錄 ↓" + "<br>"); 
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null ) 
{ 
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
} 
else 
{ 
getip = Page.Request.ServerVariables["REMOTE_ADDR"]; 
} 
Response.Write("操 作 I P ：" + getip + "<br>"); 
Response.Write("操 作 時(shí) 間：" + DateTime.Now.ToString() + "<br>"); 
Response.Write("操 作 頁(yè) 面：" + Page.Request.ServerVariables["URL"] + "<br>"); 
Response.Write("提 交 方 式： Cookies " + "<br>"); 
Response.Write("提 交 參 數(shù)：" + jk + "<br>"); 
Response.Write("提 交 數(shù) 據(jù)：" + Page.Request.Cookies[getsqlkey].Value.ToLower() + "<br>"); 
Response.End(); 
} 
} 
} 
} 
} 