菜鸟....救命。防注入。Global.asax

xf198903 2010-07-01 10:32:51

#region SQL注入式攻击代码分析
/// <summary>
/// 处理用户提交的请求
/// </summary>
private void StartProcessRequest()
{
try
{
string getkeys = "";

if (System.Web.HttpContext.Current.Request.QueryString != null)
{

for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (getkeys == "__VIEWSTATE") continue;
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
jcFAQApp.FAQ_Util.Log.WriteMessage("<font color:red>注入攻击</red>", System.Web.HttpContext.Current.Request.UserHostAddress.ToString());
System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{

}
}
/// <summary>
/// 分析用户请求是否正常
/// </summary>
/// <param name="Str">传入用户提交数据 </param>
/// <returns>返回是否含有SQL注入式攻击代码 </returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str.Trim() != "")
{
//string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";
string SqlStr = "exec ¦insert ¦select ¦delete ¦update ¦mid ¦master ¦truncate ¦declare";
string[] anySqlStr = SqlStr.Split('¦');
foreach (string ss in anySqlStr)
{
if (Str.ToLower().IndexOf(ss) >= 0)
{
ReturnValue = false;
break;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion

jcFAQApp这个是什么意思,老报错。。。。。。。怎么解决。。。。。望高手给菜鸟小弟我解决

...全文

198 26 打赏收藏转发到动态举报

写回复

用AI写文章

26 条回复

切换为时间正序

请发表友善的回复…

发表回复

xf198903 2010-07-01

打赏
举报

俺就是提供，男，女，服务的，嘻嘻

Tanhualin 2010-07-01

打赏
举报

路过......

newdigitime 2010-07-01

打赏
举报

区别大了,表面上看起来写法只是略有不同,但.net以及数据库对参数在背后的处理你没看到.
用参数化方法,对于where id = @bh这样的条件
无论你在@bh中输入什么恶意的字符,对于执行效果而言,
你可以理解为:它们都被打包成一个字段值,而无非暴露在外面,来改变SQL语句的语义.

Jeremiah 2010-07-01

打赏
举报

[Quote=引用 22 楼 newdigitime 的回复:]

C# code

参数化,网上介绍的资料汗牛充栋
代码的写法有N多种,不过核心思想都是一样的.

譬如传统的某个查询,你可能会写成
String strsql="select * from mynews where id ='"+bh+"'";
如果用参数化(注意第一句的不同)
string strsql = "select * from mynews where id = @bh";
Sql……
[/Quote]

区别就是你不用那么多Replace了~

xf198903 2010-07-01

打赏
举报

哦，这样叫参数化，我懂了，好像用过。不过我看不出它和拼装的sql有什么区别啊，，在安全方面

newdigitime 2010-07-01

打赏
举报



参数化,网上介绍的资料汗牛充栋

代码的写法有N多种,不过核心思想都是一样的.



譬如传统的某个查询,你可能会写成

String strsql="select * from mynews where id ='"+bh+"'";

如果用参数化(注意第一句的不同)

string strsql = "select * from mynews where id = @bh";

SqlCommand cmd = new SqlCommand(strsql, con);//创建Command对象

cmd.Parameters.Add("@bh", SqlDbType.Int);//增加参数@bh

cmd.Parameters[0].Value = 4;//通过索引为参数赋值

SqlDataReader dr = cmd.ExecuteReader();//

xf198903 2010-07-01

打赏
举报

怎么个参数化呢？帅哥。。。。具体可以吗？

newdigitime 2010-07-01

打赏
举报

一会儿是小弟,一会儿是小妹,究竟是?

建议你把这个global.asax的机制pass掉,
直接用参数化操作.省心省力

panguo33 2010-07-01

打赏
举报

找不到就继续做你的鸭子！

zhulong1111 2010-07-01

打赏
举报

鸭子~~~~~~~~~~~~~哥不要~~~~~~~~只要~~~~~~~~~~~~~~~~~~鸡

xf198903 2010-07-01

打赏
举报

搜不到呀，大侠们。怎么办呢？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？