2. 程式人生 > >Asp.net中Global.asax設定防止Sql注入

Asp.net中Global.asax設定防止Sql注入

阿新 發佈:2019-02-18 
using System;
using System.IO;

public partial class Global : System.Web.HttpApplication
{
    protected void Application_Start(object sender, EventArgs e)
    {
        //在應用程式啟動時執行的程式碼
    }

    protected void Session_Start(object sender, EventArgs e)
    {
        //在新會話啟動時執行的程式碼
    }

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        try
        {
            string getkeys = "";
            //防止post方法注入
            if (System.Web.HttpContext.Current.Request.Form != null)
            {
                for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys], 1))
                    {
                        RecordeWrite();
                        System.Web.HttpContext.Current.Response.Redirect("/Error/assault.htm");
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }

            //防止get方法注入
            if (System.Web.HttpContext.Current.Request.QueryString != null)
            {

                for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys], 2))
                    {
                        RecordeWrite();
                        System.Web.HttpContext.Current.Response.Redirect("/Error/assault.htm");
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }

            //防止cookie方法注入 
            if (System.Web.HttpContext.Current.Request.Cookies != null)
            {
                for (int i = 0; i < System.Web.HttpContext.Current.Request.Cookies.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.Cookies.AllKeys[i];
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Cookies[getkeys].Value, 3))
                    {
                        RecordeWrite();
                        System.Web.HttpContext.Current.Response.Redirect("/Error/assault.htm");
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }
        }
        catch
        {

        }
    }

    /// <summary>
    /// 分析使用者請求是否正常
    /// </summary>
    /// <param name="Str">傳入使用者提交資料</param>
    /// <param name="type">注入的方式</param>
    /// <returns>返回是否含有SQL注入式攻擊程式碼</returns>
    protected bool ProcessSqlStr(string Str, int type)
    {
        string SqlStr = "";
        if (type == 1)  //Post方法提交
        {
            SqlStr = "script|iframe|xp_loginconfig|xp_fixeddrives|Xp_regremovemultistring|Xp_regread|Xp_regwrite|xp_cmdshell|xp_dirtree|exec|insert|select|delete|update|count(|asc(|chr(|substring(|mid(|master|truncate|char(|declare|replace(|varchar(|cast(";
        }
        else if (type == 2) //Get方法提交
        {
            SqlStr = "'|script|iframe|xp_loginconfig|xp_fixeddrives|Xp_regremovemultistring|Xp_regread|Xp_regwrite|xp_cmdshell|xp_dirtree|exec|insert|select|delete|update|count(|*|asc(|chr(|substring(|mid(|master|truncate|char(|declare|and|or|=|%|replace(|;|varchar(|cast(";
        }
        else if (type == 3) //Cookie提交
        {
            SqlStr = "script|iframe|xp_loginconfig|xp_fixeddrives|Xp_regremovemultistring|Xp_regread|Xp_regwrite|xp_cmdshell|xp_dirtree|exec|insert|select|delete|update|count(|asc(|chr(|substring(|mid(|master|truncate|char(|declare";
        }
        else  //預設Post方法提交
        {
            SqlStr = "script|iframe|xp_loginconfig|xp_fixeddrives|Xp_regremovemultistring|Xp_regread|Xp_regwrite|xp_cmdshell|xp_dirtree|exec|insert|select|delete|update|count(|asc(|chr(|substring(|mid(|master|truncate|char(|declare|replace(";
        }

        bool ReturnValue = true;
        try
        {
            if (Str != "")
            {
                string[] anySqlStr = SqlStr.ToUpper().Split('|'); ;
                foreach (string ss in anySqlStr)
                {
                    if (Str.ToUpper().IndexOf(ss) >= 0)
                    {
                        ReturnValue = false;
                    }
                }
            }
        }
        catch
        {
            ReturnValue = false;
        }
        return ReturnValue;
    }

    /// <summary>
    /// 記錄攻擊資訊
    /// </summary>
    protected void RecordeWrite()
    {
        try
        {
            string path = "~/Error/Log/" + DateTime.Today.ToString("dd-mm-yy") + ".txt";
            if (!System.IO.File.Exists(System.Web.HttpContext.Current.Server.MapPath(path)))
            {
                System.IO.File.Create(System.Web.HttpContext.Current.Server.MapPath(path)).Close();
            }
            using (StreamWriter w = System.IO.File.AppendText(System.Web.HttpContext.Current.Server.MapPath(path)))
            {
                w.WriteLine("當前時間:{0}", System.DateTime.Now.ToString());
                w.WriteLine("當前IP:{0} ", System.Web.HttpContext.Current.Request.UserHostAddress);
                w.WriteLine("當前Url:{0} ", System.Web.HttpContext.Current.Request.Url.ToString());
                w.WriteLine("__________________________________");
                w.Flush();
                w.Close();
            }
        }
        catch
        {
        }
    }

    protected void Application_AuthenticateRequest(object sender, EventArgs e)
    {

    }

    protected void Application_Error(object sender, EventArgs e)
    {

    }

    protected void Session_End(object sender, EventArgs e)
    {
        //在會話結束時執行的程式碼。 
        // 注意: 只有在 Web.config 檔案中的 sessionstate 模式設定為
        // InProc 時,才會引發 Session_End 事件。如果會話模式 
        //設定為 StateServer 或 SQLServer,則不會引發該事件。
    }

    protected void Application_End(object sender, EventArgs e)
    {

    }
}
更多.net技術就在http://bbs.netluntan.com,群:121058751

相關推薦

Asp.netGlobal.asax設定防止Sql注入

using System; using System.IO; public partial class Global : System.Web.HttpApplication { protected void Application_Start(object se

asp.net過濾非法字元防止SQL注入

  string UserName = FunStr(Request.Form["UserName"].ToString()); string UserPwd = FunStr(Request.Form["UserPwd"].ToString());  public sta

asp.net 360通用防護程式碼,防止sql注入與xss跨站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

asp.net mvc global.asax文件詳解

cte sharp resolve 起點 intern tco pro 處理程序 light 一、文件概述   global.asax這個文件包含全局應用程序事件的事件處理程序。它響應應用程序級別和會話級別事件的代碼。  運行時, Global.asax 將被編譯成一個動態

asp.net怎麼用VB連線SQL SERVER2005資料庫

第一步: Private Function ExecuteSQL(ByVal strSQL As String, ByRef errMsg As String) As DataSet Dim cnn As SqlClient.SqlConn

Asp.Net MVC WebAPI的建立與前臺Jquery ajax後臺HttpClient呼叫詳解 Asp.Net對操作Sql Server 簡單處理的SqlDB類

1、什麼是WebApi,它有什麼用途?           Web API是一個比較寬泛的概念。這裡我們提到Web API特指ASP.NET MVC Web API。在新出的MVC中,增加了WebAPI,用於提供REST風格的WebService,新生成的W

asp.netgridview設定邊框

protected void GridView1_RowDataBound(object sender, GridViewRowEventArgs e) { if (e.Row.RowType == DataControlRowType.DataRo

AOP實踐--ASP.NET MVC 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔

在開發程式的過程中,稍微不注意就會隱含有sql注入的危險。今天我就來說下,ASP.NET mvc 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔。不用每下地方對引數的值都進行檢查,看是使用者輸入的內容是否有危險的sql。如果沒個地方都要加有幾個缺

ASP.NET防止頁面多次載入的IsPostBack屬性

    查查msdn,上邊有IsPostBack的定義:獲取一個值,該值指示該頁是否正為響應客戶端回發而載入,或者它是否正被首次載入和訪問。如果是為響應客戶端回發而載入該頁,則為 true;否則為 f

Asp.NET設定顏色、字型和邊框樣式

一,系統字型的獲取和操作 1,我們取出來全部可用系統字型,並將字型名字繫結到一個DropDownList控制元件 using System.Drawing; using System.Drawing.Text; DropDownList listFontName

asp.net的cookie

再次 創建cookie bpa form void 並且 ima 顯示 red 一.cookie導讀,理解什麽是cookie 1.什麽是cookie:cookie是一種能夠讓網站服務器把少量數據(4kb左右)存儲到客戶端的硬盤或內存。並且讀可以取出來的一種技術。 2.

ASP.NET的驗證控件

spl 允許 需要 解決 ova 自帶 mar integer object ASP.NET提供了如下的控件:  RequiredFieldValidator: 字段必填 (ControlTovalidate設定要驗證的控件)  RangeValidator: 值在給定的最

ASP.NET的母版頁

建議 cli 路徑 pla 自動 webapp 一個 服務 如果 添加一個"母版頁",使用<asp:ContentPlaceHolder>挖坑,新建的母版頁已經自動設置了兩個ContentPlaceHolder創建使用母版頁的具體頁面,WebSite是新建"We

ASP.NET的Request、Response、Server對象

.html languages asa 地址欄 判斷 nsf 一次 服務 tco Request對象 Response.Write(Request.ApplicationPath) //應用根路徑Request.AppRelativeCurrentExecutionFile

ASP.NETC#生成二維碼

保存 mss 軟件 clear 所有 str drawing for visual ASP.NET中用C#語言編寫網頁,將自己輸入的文字生成二維碼。 工具/原料 已安裝好VS2010或其他版本VS軟件的電腦一臺 1、新建 1

動態生成頁面(一)——ASP.NETLiteral使用

case colspan label 奇偶數 容器 業務邏輯 con stringbu font 在頁面中加入內容時,假設是靜態內容。無需使用容器,能夠直接將標記作為HTML直接加入到頁面中;可是,假設是動態內容,則必須借助容器將內容加入到頁面中。典型的容器

ASP.NET的配置文件

機器 針對 str ont 軟件安裝 宋體 一點 讀取 找文件  在機房收費系統的時候以前應用過配置文件,當時也就那麽一用對配置文件了解的不是非常透徹。以下就來總結一下有關配置文件的一些操作。 什麽是配置文件

深入理解asp.net的 __doPostBack函數

control mar find ros 理解 額外 工具 服務器 們的   前段時間做一個.net網站的時候,用到了模擬前端按鈕刷新updatePanel進行局部刷新的時候,遇見了這個問題,當時沒顧上記下來,查看網上資料,記下來留著以後查看.   很早以前,當我剛接觸a

ASP.NET的參數與特殊類型和特性

初始 name 泛型類 new console multiple blog net 通過 一、可選參數和命名參數 1、可選參數 語法: [修飾符] 返回類型 方法名(必選參數1...必選參數n,可選參數1..

ASP.NET JSON 的序列化和反序列化

urn 序列 del nbsp parseint 代碼 href end user JSON是專門為瀏覽器中的網頁上運行的JavaScript代碼而設計的一種數據格式。在網站應用中使用JSON的場景越來越多,本文介紹ASP.NET中JSON的序列化和反序列化,主要對JSON