请我该如何是网站防御SQL注入?
1,用正则表达式过滤一些SQL注入关键字。
2,尽量使用参数形式,少用拼凑型SQL语句
3,条件可以的话,请使用存储过程操作数据库.
4,转换参数类型.如是参数是数字型,则转换成数字型的才操作
public class AntiSqlInAttack
{
public System.Web.HttpRequest request;
public AntiSqlInAttack(System.Web.HttpRequest request)
{
this.request = request;
}
public bool CheckBadQuery()
{
//整串字符对比方法
//string badword = ";|'|*|%| and |20%and20%| master |20%master20%|exec|insert|select|delete|count|chr|mid|truncate|char|declare|update";
//string query = request.ServerVariables["Query_String"].ToString();
//string[] badwordArry = badword.Split(new char[] { '|' });
//for (int i = 0; i < badwordArry.Length; i++)
//{
// string tempWord = badwordArry[i].Trim();
// if (query.IndexOf(tempWord) >= 1)
// return true;
//}
//return false;
if (request.QueryString.Count != 0)
{
for (int i = 0; i < request.QueryString.Count; i++)
{
if (CheckBadWord(request.QueryString[i].ToString()))
return true;
}
}
return false;
}
public bool CheckBadForm()
{
if (request.Form.Count > 0)
{
for (int i = 0; i < request.Form.Count; i++)
{
if (CheckBadWord(request.Form[i]))
return true;
}
}
return false;
}
public bool CheckBadWord(string str)
{
string pattern = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
if (Regex.IsMatch(str, pattern, RegexOptions.IgnoreCase) || Regex.IsMatch(str, @"[-|;|,|\/|\(|\)|\[|\]|\}|\{|%|@|\*|!|\']"))
return true;
return false;
}
/**//// <summary>
/// 反SQL注入
/// </summary>
public void AntiSqlInjectionAttack()
{
if (CheckBadQuery() || CheckBadForm())
{
string msg = string.Empty;
msg += "<span style='font-size:12px;'>非法操作!系统做了如下记录!<br>";
msg += "操作IP:" +Utils.GetRealIP()+ "<br>";
msg += "操作时间:" + DateTime.Now + "<br>";
msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
msg += "<a href=\"#\" onclick=\"history.back()\">返回上一页</a></span>";
MessageBox.ResponseWrite(msg, true);
}
}
}
2,尽量使用参数形式,少用拼凑型SQL语句
3,条件可以的话,请使用存储过程操作数据库.
4,转换参数类型.如是参数是数字型,则转换成数字型的才操作
public class AntiSqlInAttack
{
public System.Web.HttpRequest request;
public AntiSqlInAttack(System.Web.HttpRequest request)
{
this.request = request;
}
public bool CheckBadQuery()
{
//整串字符对比方法
//string badword = ";|'|*|%| and |20%and20%| master |20%master20%|exec|insert|select|delete|count|chr|mid|truncate|char|declare|update";
//string query = request.ServerVariables["Query_String"].ToString();
//string[] badwordArry = badword.Split(new char[] { '|' });
//for (int i = 0; i < badwordArry.Length; i++)
//{
// string tempWord = badwordArry[i].Trim();
// if (query.IndexOf(tempWord) >= 1)
// return true;
//}
//return false;
if (request.QueryString.Count != 0)
{
for (int i = 0; i < request.QueryString.Count; i++)
{
if (CheckBadWord(request.QueryString[i].ToString()))
return true;
}
}
return false;
}
public bool CheckBadForm()
{
if (request.Form.Count > 0)
{
for (int i = 0; i < request.Form.Count; i++)
{
if (CheckBadWord(request.Form[i]))
return true;
}
}
return false;
}
public bool CheckBadWord(string str)
{
string pattern = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
if (Regex.IsMatch(str, pattern, RegexOptions.IgnoreCase) || Regex.IsMatch(str, @"[-|;|,|\/|\(|\)|\[|\]|\}|\{|%|@|\*|!|\']"))
return true;
return false;
}
/**//// <summary>
/// 反SQL注入
/// </summary>
public void AntiSqlInjectionAttack()
{
if (CheckBadQuery() || CheckBadForm())
{
string msg = string.Empty;
msg += "<span style='font-size:12px;'>非法操作!系统做了如下记录!<br>";
msg += "操作IP:" +Utils.GetRealIP()+ "<br>";
msg += "操作时间:" + DateTime.Now + "<br>";
msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
msg += "<a href=\"#\" onclick=\"history.back()\">返回上一页</a></span>";
MessageBox.ResponseWrite(msg, true);
}
}
}
温馨提示:答案为网友推荐,仅供参考
第1个回答 2012-04-17
sql 注入的问题,是利用sql本身的漏洞来爆库的啊,防止sql注入,主要是在接到的数据入库的时候,把数据进行过滤即可,mysql_real_escape_string(),php.ini中的magic_quotes_gpc,magic_quotes_runtime参数(尽量不要使用),addslashes(),htmlspecialchars()也可以的,可以过滤一些字符串等,如果接到的只为整型可用intval(),其实sql注入,主要是防止一些特殊字符,例如:*,-,<,>等等追问
可否说的细致点,用什么样的代码写在什么文件里面可以进行数据过滤。
追答只要是用户提交的数据都需要过滤,你要记得一句话,不要相信用户提交的任何信息,就算明知道是安全的,也要过滤一下啊
本回答被网友采纳第2个回答 2012-04-17
三楼正解~~~二楼,是学Java的吧,太晕了。。。追问
可否说的细致点,用什么样的代码写在什么文件里面可以进行数据过滤。
