当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > .Net程序中整站通用的防SQL注入函数

ASP.NET
如何在ASP.NET中使用SmtpMail发送邮件
在VB.NET中利用Split和Replace函数计算字数
Attribute应用:简化ANF自定义控件初始化过程
ASP.NET 2.0移动开发入门之使用样式
ASP.NET 2.0中使用OWC生成图表
ASP.NET 2.0中控件的简单异步回调
一个无法捕获ADO.NET Dataset的内存错误
深入解读ADO.NET2.0的十大最新特性
.Net平台下的分布式缓存设计
ASP.NET全局异常处理浅析
ASP.NET 2.0中文验证码的实现
浅析.NET平台编程语言的未来走向
.net 框架程序设计收藏
使用ASP.NET MVC Futures 中的异步Action
详解.NET中的XmlReader与XmlWriter
关于.NET中的Server push技术
asp.net页面执行机制
对比JSP和ASP.NET的存储过程
.NET 4.0不会包含System.Shell.CommandLine
ASP.NET十个有效性能优化的方法

ASP.NET 中的 .Net程序中整站通用的防SQL注入函数


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-08-14   浏览: 72 ::
收藏到网摘: n/a

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。

做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

一、数据验证类:
parameterCheck.cs


publicclassparameterCheck{
publicstaticboolisEmail(stringemailString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(emailString,"['\\w_-]+(\\.['\\w_-]+)*@['\\w_-]+(\\.['\\w_-]+)*\\.[a-zA-Z]{2,4}");
}
publicstaticboolisInt(stringintString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(intString,"^(\\d{5}-\\d{4})|(\\d{5})$");
}
publicstaticboolisUSZip(stringzipString){
returnSystem.Text.RegularExpressions.Regex.IsMatch(zipString,"^-[0-9]+$|^[0-9]+$");
}
}


二、Web.config

在你的Web.config文件中,在<appSettings>下面增加一个标签:如下

<appSettings>
<addkey="safeParameters"value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip"/>
</appSettings>

其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

三、Global.asax

在Global.asax中增加下面一段:


protectedvoidApplication_BeginRequest(Objectsender,EventArgse){
String[]safeParameters=System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
for(inti=0;i<safeParameters.Length;i++){
StringparameterName=safeParameters[i].Split('-')[0];
StringparameterType=safeParameters[i].Split('-')[1];
isValidParameter(parameterName,parameterType);
}
}

publicvoidisValidParameter(stringparameterName,stringparameterType){
stringparameterValue=Request.QueryString[parameterName];
if(parameterValue==null)return;

if(parameterType.Equals("int32")){
if(!parameterCheck.isInt(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("double")){
if(!parameterCheck.isDouble(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("USzip")){
if(!parameterCheck.isUSZip(parameterValue))Response.Redirect("parameterError.aspx");
}
elseif(parameterType.Equals("email")){
if(!parameterCheck.isEmail(parameterValue))Response.Redirect("parameterError.aspx");
}
}

以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。