2. 程式人生 > 其它 >Helper-C#常用的防sql注入的關鍵詞檢測

Helper-C#常用的防sql注入的關鍵詞檢測

阿新 發佈:2021-12-13 
 1 using System;
 2 using System.Linq;
 3 using System.Text;
 4 using System.Text.RegularExpressions;
 5 using System.Web;
 6 
 7 namespace HOST_CONTROL_CENTER.Uril.DBHelper
 8 {
 9     /// <summary>
10     /// 防sql注入關鍵詞檢測
11     /// sql關鍵詞與xss攻擊語句
12     /// 注:儘量使用引數化傳值不要拼接sql
13     /// </summary>
14     public
 
 class SafeSqlHelper
15     {
16         private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)
 
";
17         public static bool PostData()
18         {
19             bool result = false;
20             for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
21             {
22                 result = CheckData(HttpContext.Current.Request.Form[i].ToString());
23                 if (result)

 
24                 {
25                     break;
26                 }
27             }
28             return result;
29         }
30 
31         /// <summary>
32         /// 獲取資料
33         /// </summary>
34         /// <returns></returns>
35         public static bool GetData()
36         {
37             bool result = false;
38             for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
39             {
40                 result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
41                 if (result)
42                 {
43                     break;
44                 }
45             }
46             return result;
47         }
48         /// <summary>
49         /// Cookie資料
50         /// </summary>
51         /// <returns></returns>
52         public static bool CookieData()
53         {
54             bool result = false;
55             for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
56             {
57                 result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
58                 if (result)
59                 {
60                     break;
61                 }
62             }
63             return result;
64 
65         }
66         public static bool referer()
67         {
68             bool result = false;
69             return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
70         }
71 
72         /// <summary>
73         /// 檢查資料
74         /// </summary>
75         /// <param name="inputData"></param>
76         /// <returns></returns>
77         public static bool CheckData(string inputData)
78         {
79             if (Regex.IsMatch(inputData, StrRegex))
80             {
81                 return true;
82             }
83             else
84             {
85                 return false;
86             }
87         }
88     }
89 }

注:儘量使用引數化傳值,減少sql拼接

365個夜晚,我希望做到兩天更一篇部落格。加油,小白!

相關推薦

Helper-C#常用sql注入關鍵詞檢測

1 using System; 2 using System.Linq; 3 using System.Text; 4 using System.Text.RegularExpressions; 5 using System.Web;

使用PDOsql注入的原理分析

前言 本文使用pdo的預處理方式可以避免sql注入。下面話不多說了,來一起看看詳細的介紹吧

phpsql注入

原始沒有sql注入操作: public function sql_export(Request $request){ $username = $request -> get(\"username\");

用過濾器sql注入

技術標籤:問題集用過濾器sql注入sql注入過濾器解決sql注入 使用過濾器是解決sql注入的一種方式,其它可以前端校驗處理等

request請求的body中的引數(json物件)只能取出一次,引數丟失問題的解決方式(sql注入過濾器的應用)

在專案即將上線的滲透測試報告中檢測出了sql注入的問題,關於這個問題的解決方案,最初的思路是寫一個全域性的過濾器,對所有請求的引數進行過濾攔截,如果存在和sql注入相關的特殊字元則攔截掉,具體細節展開以下

Mybatis框架SQL注入寫法

Mybatis框架SQL注入寫法 Mybatis的SQL語句可以基於註解的方式寫在類方法上面,但我們更多的是以xml的方式寫到xml檔案。

java-安全-sql注入

import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import org.jeecg.common.exception.JeecgBootException;

用建造者模式實現一個SQL注入的ORM框架

本文節選自《設計模式就該這樣學》 1建造者模式的鏈式寫法 以構建一門課程為例,一個完整的課程由PPT課件、回放視訊、課堂筆記、課後作業組成,但是這些內容的設定順序可以隨意調整,我們用建造者模式來代入理解一

sql注入9:sqlmap常用引數2

接上文: 九、身份認證   引數:“-auth-type”和“-auth-cred”   這些引數用於進行身份認證。“-auth-type”用於指定認證方式,支援以下三種身份認證方式:

sql注入 報錯注入常用的三種函式

1.floor()函式 報錯原因是 報錯的原因是因為rand()函式在查詢的時候會執行一次,插入的時候還會執行一次.這就是整個語句報錯的關鍵

使用C#winform編寫滲透測試工具--SQL注入

本篇文章主要介紹使用C#winform編寫滲透測試工具,實現SQL注入的功能。使用python編寫SQL注入指令碼,基於get顯錯注入的方式進行資料庫的識別、獲取表名、獲取欄位名,最終獲取使用者名稱和密碼;使用C#winform編寫

記某sql注入對361注入指令碼進行繞過

繞過361注入指令碼 題記 凜冬已至,活也多了起來,某天,接到某保密專案,收到相關站點,開始挖洞之旅。由於我分到的資產不存活,申請了一下換了一批,sql注入的冒險開始了。

SQL注入常用方法

聯合注入(union): ①判斷注入型別: 先判斷注入型別:字元型,數字型(注入 id=a 報錯表示 型別為數字 ,即就是$id,沒有””)

MySQL JDBC常用知識,封裝工具類,時區問題配置,SQL注入問題

JDBC JDBC介紹 Sun公司為了簡化開發人員的(對資料庫的統一)操作,提供了(Java操作資料庫的)規範,俗稱JDBC,這些規範的由具體由具體的廠商去做

sql注入原理及防範

前言         sql注入是一種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

opencv3/C++實現霍夫圓/直線檢測

霍夫直線檢測 引數說明: cv::HoughLinesP( InputArray src,// 輸入影象(8位灰度影象)

Sql Server資料庫常用Transact-SQL指令碼(推薦)

Transact-SQL Transact-SQL(又稱 T-SQL),是在 Microsoft SQL Server 和 Sybase SQL Server 上的 ANSI SQL 實現,與 Oracle 的 PL/SQL 性質相近(不只是實現 ANSI SQL,也為自身資料庫系統的特性提供實現支援),在

C# ling to sql 取多條記錄最大時間

具體程式碼如下所述: var _setList = (from f in _postgreDbContext.settlements group f by ( new { f.settlement_code })into g

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的一種型別,是用來儲存網站資料的。