当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > ASP教程:防SQL注入

ASP.NET
FreeTextBox(版本3.1.6)在ASP.Net 2.0中使用方法
.NET 常用功能和代码小结
在 .NET Framework 2.0 中未处理的异常导致基于 ASP.NET 的应用程序意外退出
asp.net IList查询数据后格式化数据再绑定控件
asp.net sql存储过程
asp.net 简单实现禁用或启用页面中的某一类型的控件
asp.net(c#)获取内容第一张图片地址的函数
The remote procedure call failed and did not execute的解决办法
ASP.NET 在线文件管理
asp.net 读取并修改config文件实现代码
ASP.NET Cookie 操作实现
asp.net Silverlight中的模式窗体
Silverlight中动态获取Web Service地址
asp.net Silverlight应用程序中获取载体aspx页面参数
asp.net 水晶报表隔行换色实现方法
asp.net 获取Gridview隐藏列的值
手动把asp.net的类生成dll文件的方法
asp.net 使用ObjectDataSource控件在ASP.NET中实现Ajax真分页
动态指定任意类型的ObjectDataSource对象的查询参数
asp.net Md5的用法小结

ASP.NET 中的 ASP教程:防SQL注入


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-28   浏览: 66 ::
收藏到网摘: n/a

防SQL 注入是一个系统工程,在项目开发中就要系统的考虑SQL 注入的问题。一般做到以下4点,能比较好的控制SQL 注入:

  1. 严格验证用户的一切输入,包括URL参数。
  2. 将用户登录名称、密码等数据加密保存
  3. 不要用拼接字符串的方式来生成SQL语句,而是用SQL Parameters 传参数或者用存储过程来查询
  4. 严格验证上传文件的后缀,exe、aspx、asp等可执行程序禁止上传。

这里介绍一个简单通用的方法,用来验证字符串中是否有敏感字符,参数可以是一个字符串,也可以是一个字符串集合,敏感字符可以在Lawlesses数组中定义:

  1.         public static string[] Lawlesses = { "=", "'" };
  2.         /// <summary>
  3.         /// 敏感字符检测
  4.         /// </summary>
  5.         /// <param name="args"></param>
  6.         /// <returns></returns>
  7.         public static bool CheckParams(params object[] args)
  8.         {
  9.             if (Lawlesses == null || Lawlesses.Length <= 0) return true;
  10.             //构造正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].*
  11.             //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
  12.             string str_Regex = ".*[";
  13.             for (int i = 0; i < Lawlesses.Length - 1; i++)
  14.             {
  15.                 str_Regex += Lawlesses[i] + "|";
  16.             }
  17.             str_Regex += Lawlesses[Lawlesses.Length - 1] + "].*";
  18.             //
  19.             foreach (object arg in args)
  20.             {
  21.                 if (arg is string)//如果是字符串,直接检查
  22.                 {
  23.                     if (Regex.Matches(arg.ToString(), str_Regex).Count > 0)
  24.                         return false;
  25.                 }
  26.                 else if (arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
  27.                 {
  28.                     foreach (object obj in (ICollection)arg)
  29.                     {
  30.                         if (obj is string)
  31.                         {
  32.                             if (Regex.Matches(obj.ToString(), str_Regex).Count > 0)
  33.                                 return false;
  34.                         }
  35.                     }
  36.                 }
  37.             }
  38.             return true;
  39.         }