快捷導(dǎo)航

c#.net全站防止SQL注入類的代碼

更新時(shí)間：2013年03月11日 15:18:38 作者：

c#.net全站防止SQL注入類的代碼，需要的朋友可以參考一下

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

/// <summary>
/// 防SQL注入檢查器
/// </summary>
public class SqlChecker
{
    //當(dāng)前請求對象
    private HttpRequest request;
    //當(dāng)前響應(yīng)對象
    private HttpResponse response;
    //安全Url,當(dāng)出現(xiàn)Sql注入時(shí),將導(dǎo)向到的安全頁面,如果沒賦值,則停留在當(dāng)前頁面
    private string safeUrl = String.Empty;

    //Sql注入時(shí),可能出現(xiàn)的sql關(guān)鍵字,可根據(jù)自己的實(shí)際情況進(jìn)行初始化,每個(gè)關(guān)鍵字由'|'分隔開來
    //private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
    private const string StrKeyWord = @"select|insert|delete|from|drop table|update|truncate|exec master|netlocalgroup administrators|:|net user|or|and";
    //Sql注入時(shí),可能出現(xiàn)的特殊符號,,可根據(jù)自己的實(shí)際情況進(jìn)行初始化,每個(gè)符號由'|'分隔開來
    //private const string StrRegex = @"-|;|,|/|(|)|[|]|}|{|%|@|*|!|'";
    private const string StrRegex = @"=|!|'";
    public SqlChecker()
    {
        //
        // TODO: 在此處添加構(gòu)造函數(shù)邏輯
        //
    }
    /// <summary>
    /// 由此構(gòu)造函數(shù)創(chuàng)建的對象,在驗(yàn)證Sql注入之后將停留在原來頁面上
    /// </summary>
    /// <param name="_request">當(dāng)前請求的 Request 對象</param>
    /// <param name="_response">當(dāng)前請求的 Response 對象</param>
    public SqlChecker(HttpRequest _request, HttpResponse _response)
    {
        this.request = _request;
        this.response = _response;
    }
    /// <summary>
    /// 由此構(gòu)造函數(shù)創(chuàng)建的對象,在驗(yàn)證Sql注入之后將請求將導(dǎo)向由 _safeUrl 指定的安全url頁面上
    /// </summary>
    /// <param name="_request">當(dāng)前請求的 Request 對象</param>
    /// <param name="_response">當(dāng)前請求的 Response 對象</param>
    /// <param name="_safeUrl">驗(yàn)證Sql注入之后將導(dǎo)向的安全 url</param>
    public SqlChecker(HttpRequest _request, HttpResponse _response, string _safeUrl)
    {
        this.request = _request;
        this.response = _response;
        this.safeUrl = _safeUrl;
    }
    /// <summary>
    /// 只讀屬性 SQL關(guān)鍵字
    /// </summary>
    public string KeyWord
    {
        get
        {
            return StrKeyWord;
        }
    }
    /// <summary>
    /// 只讀屬性過濾特殊字符
    /// </summary>
    public string RegexString
    {
        get
        {
            return StrRegex;
        }
    }
    /// <summary>
    /// 當(dāng)出現(xiàn)Sql注入時(shí)需要提示的錯(cuò)誤信息(主要是運(yùn)行一些客戶端的腳本)
    /// </summary>
    public string Msg
    {
        get
        {
            string msg = "<script type='text/javascript'> "
            + " alert('請勿輸入非法字符!'); ";

            if (this.safeUrl == String.Empty)
                msg += " window.location.href = '" + request.RawUrl + "'";
            else
                msg += " window.location.href = '" + safeUrl + "'";

            msg += "</script>";
            return msg;
        }
    }
    /// <summary>
    /// 檢查URL參數(shù)中是否帶有SQL注入的可能關(guān)鍵字。
    /// </summary>
    /// <returns>存在SQL注入關(guān)鍵字時(shí)返回 true，否則返回 false</returns>
    public bool CheckRequestQuery()
    {
        bool result = false;
        if (request.QueryString.Count != 0)
        {
            //若URL中參數(shù)存在，則逐個(gè)檢驗(yàn)參數(shù)。
            foreach (string queryName in this.request.QueryString)
            {
                //過慮一些特殊的請求狀態(tài)值,主要是一些有關(guān)頁面視圖狀態(tài)的參數(shù)
                if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
                    continue;
                //開始檢查請求參數(shù)值是否合法
                if (CheckKeyWord(request.QueryString[queryName]))
                {
                    //只要存在一個(gè)可能出現(xiàn)Sql注入的參數(shù),則直接退出
                    result = true;
                    break;
                }
            }
        }
        return result;
    }
    /// <summary>
    /// 檢查提交表單中是否存在SQL注入的可能關(guān)鍵字
    /// </summary>
    /// <returns>存在SQL注入關(guān)鍵字時(shí)返回 true，否則返回 false</returns>
    public bool CheckRequestForm()
    {
        bool result = false;
        if (request.Form.Count > 0)
        {
            //若獲取提交的表單項(xiàng)個(gè)數(shù)不為0,則逐個(gè)比較參數(shù)
            foreach (string queryName in this.request.Form)
            {
                //過慮一些特殊的請求狀態(tài)值,主要是一些有關(guān)頁面視圖狀態(tài)的參數(shù)
                if (queryName == "__VIEWSTATE" || queryName == "__EVENTVALIDATION")
                    continue;
                //開始檢查提交的表單參數(shù)值是否合法
                if (CheckKeyWord(request.Form[queryName]))
                {
                    //只要存在一個(gè)可能出現(xiàn)Sql注入的參數(shù),則直接退出
                    result = true;
                    break;
                }
            }
        }
        return result;
    }
    /// <summary>
    /// 檢查_sword是否包涵SQL關(guān)鍵字
    /// </summary>
    /// <param name="_sWord">需要檢查的字符串</param>
    /// <returns>存在SQL注入關(guān)鍵字時(shí)返回 true，否則返回 false</returns>
    public bool CheckKeyWord(string _sWord)
    {
        bool result = false;
        //模式1 : 對應(yīng)Sql注入的可能關(guān)鍵字
        string[] patten1 = StrKeyWord.Split('|');
        //模式2 : 對應(yīng)Sql注入的可能特殊符號
        string[] patten2 = StrRegex.Split('|');
        //開始檢查模式1:Sql注入的可能關(guān)鍵字的注入情況
        foreach (string sqlKey in patten1)
        {
            if (_sWord.IndexOf(" " + sqlKey) >= 0 || _sWord.IndexOf(sqlKey + " ") >= 0)
            {
                //只要存在一個(gè)可能出現(xiàn)Sql注入的參數(shù),則直接退出
                result = true;
                break;
            }
        }
        //開始檢查模式1:Sql注入的可能特殊符號的注入情況
        foreach (string sqlKey in patten2)
        {
            if (_sWord.IndexOf(sqlKey) >= 0)
            {
                //只要存在一個(gè)可能出現(xiàn)Sql注入的參數(shù),則直接退出
                result = true;
                break;
            }
        }
        return result;
    }
    /// <summary>
    /// 執(zhí)行Sql注入驗(yàn)證
    /// </summary>
    public void Check()
    {
        if (CheckRequestQuery() || CheckRequestForm())
        {
            response.Write(Msg);
            response.End();
        }
    }
}

使用說明：

復(fù)制代碼代碼如下:

// 使用時(shí)可以根據(jù)需要決定是要進(jìn)行全局性(即針對整個(gè)應(yīng)用程序)的Sql注入檢查
// ,還是局部性(即在針對某個(gè)頁面)的Sql注入檢查

/*=========== 全局性設(shè)置:在Global.asax.cs 中加上以下代碼 =============

protected void Application_BeginRequest(Object sender, EventArgs e)
{
SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();
}

/*============ 局部性:在任何時(shí)候都可直接用以下代碼來實(shí)現(xiàn)Sql注入檢驗(yàn) ===============

SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response);
//或 SqlChecker SqlChecker = new SqlChecker(this.Request,this.Response,safeUrl);
SqlChecker.Check();

您可能感興趣的文章: