2. 程式人生 > >AOP實踐--ASP.NET MVC 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔

AOP實踐--ASP.NET MVC 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔

阿新 發佈:2019-01-08
在開發程式的過程中,稍微不注意就會隱含有sql注入的危險。今天我就來說下,ASP.NET mvc 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔。不用每下地方對引數的值都進行檢查,看是使用者輸入的內容是否有危險的sql。如果沒個地方都要加有幾個缺點:

1、工作量大

2、容易遺漏

3、不容易維護

下面我通過寫一個過濾防止sql的特性類,對Action執行前對Action的引數進行處理,如果有其值有sql語句,就會這些非法字元替換為空字串。

一、sql注入的例子:

上面的輸入有兩個輸入框,使用者可以輸入任何的值,包括有sql注入的值。

後臺程式碼:

AdminController.cs

  1. public
    classAdminController:Controller
  2. {
  3. publicActionResultIndex(string name ="",string loginName ="",int page =1)
  4. {
  5. ViewBag.Name= name;
  6. ViewBag.LoginName= loginName;
  7. var r =DAdmin.GetList(name, loginName, page,2);
  8. returnView(r);
  9. }
  10. }
  11. }
DAdmin.cs:
  1. publicclassDAdmin
  2. {
  3. publicstaticPageDataView<MSys_Admin>GetList(string
    name,string loginName,int page,int pageSize=10)
  4. {
  5. PageCriteria criteria =newPageCriteria();
  6. criteria.Condition="1=1";
  7. if(!string.IsNullOrEmpty(name))
  8. criteria.Condition+=string.Format(" and Name like '%{0}%'", name);
  9. if(!string.IsNullOrEmpty(loginName))
  10. criteria.Condition+=string.Format(" and LoginName like '%{0}%'"
    , loginName);
  11. criteria.CurrentPage= page;
  12. criteria.Fields="*";
  13. criteria.PageSize= pageSize;
  14. criteria.TableName="Sys_Admin a";
  15. criteria.PrimaryKey="UID";
  16. var r =Common.GetPageData<MSys_Admin>(criteria);
  17. return r;
  18. }
  19. }

上面對使用者輸入的name和loginName兩個引數沒有判斷是否有sql注入的非法字元,就直接拼接到sql語句,到資料庫中執行,這樣是非常危險的。

1、比如使用者在name輸入這樣的內容:

%'--%

這樣拼接出來的sql語句就成了

SELECT * FROM Sys_Admin WHERE Name like '%'--%'

這樣“--”是sql的註釋標記後面再拼接的sql語句都當成註釋了,這樣有效的就成了這樣的sql語句:

SELECT * FROM Sys_Admin WHERE Name like '%'

這表示顯示全部的記錄。如果是登入的sql就會跳過使用者名稱、密碼的驗證。

2、如果使用者name輸入內容帶有insert或delete或者drop,比如:

namer人值為:%';DELETE FROM Sys_Admin--%

拼接成的sql成了:

SELECT * FROM Sys_Admin WHERE Name like '%';DELETE FROM Sys_Admin--%'

這樣一執行就把Sys_Admin表的記錄全部刪除了。

總結:上面可以看到這種sql注入是多麼的危險。

二、解決MVC sql注入方案

1、定義一個防止sql注入的字串輔助

  1. publicclassStringHelper
  2. {
  3. publicstaticstringFilterSql(string s)
  4. {
  5. if(string.IsNullOrEmpty(s))returnstring.Empty;
  6. s = s.Trim().ToLower();
  7. s =ClearScript(s);
  8. s = s.Replace("=","");
  9. s = s.Replace("'","");
  10. s = s.Replace(";","");
  11. s = s.Replace(" or ","");
  12. s = s.Replace("select","");
  13. s = s.Replace("update","");
  14. s = s.Replace("insert","");
  15. s = s.Replace("delete","");
  16. s = s.Replace("declare","");
  17. s = s.Replace("exec","");
  18. s = s.Replace("drop","");
  19. s = s.Replace("create","");
  20. s = s.Replace("%","");
  21. s = s.Replace("--","");
  22. return s;
  23. }
  24. }
這個類對上面sql相關的字串都替換掉。

2、定義一個用來檢查並處理Action引數的特性類

  1. publicclassAntiSqlInjectAttribute:FilterAttribute,IActionFilter
  2. {
  3. publicvoidOnActionExecuted(ActionExecutedContext filterContext)
  4. {
  5. }
  6. publicvoidOnActionExecuting(ActionExecutingContext filterContext)
  7. {
  8. var actionParameters = filterContext.ActionDescriptor.GetParameters();
  9. foreach(var p in actionParameters)
  10. {
  11. if(p.ParameterType==typeof(string))
  12. {
  13. if(filterContext.ActionParameters[p.ParameterName]!=null)
  14. {
  15. filterContext.ActionParameters[p.ParameterName]=StringHelper.FilterSql(filterContext.ActionParameters[p.ParameterName].ToString());
  16. }
  17. }
  18. }
  19. }
  20. }

說明:這個特性類是繼承了類FilterAttribute和實現了介面IActionFilter,這裡在方法OnActionExecuting處理Action的引數,OnActionExecuting是在Action執行之前執行的方法,而OnActionExecuted是在Action執行之後執行的方法。

p.ParameterType == typeof(string)

因為sql注入只有引數型別為字串的時候才有可能所以這裡只對Action引數為字串的引數進行處理。

filterContext.ActionParameters[p.ParameterName] = 
StringHelper.FilterSql(filterContext.ActionParameters[p.ParameterName].ToString());
是用過濾之後的安全的Action引數值替換原來的原始值。

3、防止sql注入特性類的在MVC的Controller中的使用

  1. publicclassAdminController:Controller
  2. {
  3. [AntiSqlInject]
  4. publicActionResultIndex(string name ="",string loginName ="",int page =1)
  5. {
  6. ViewBag.Name= name;
  7. ViewBag.LoginName= loginName;
  8. var r =DAdmin.GetList(name, loginName, page,2);
  9. returnView(r);
  10. }
  11. }
需要對Action的引數進行sql檢查,只用在前面加上,上面定義的特性類AntiSqlInject。這個特性類可以用在任何的需要防止sql注入的Action上,根本不用對手動的去過濾程式中獲取到的所有引數,安全、方便簡潔。

相關推薦

AOP實踐--ASP.NET MVC 5使用Filter過濾Action引數防止sql注入程式碼安全簡潔

在開發程式的過程中,稍微不注意就會隱含有sql注入的危險。今天我就來說下,ASP.NET mvc 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔。不用每下地方對引數的值都進行檢查,看是使用者輸入的內容是否有危險的sql。如果沒個地方都要加有幾個缺

ASP.NET MVC如何在Action中返回腳本並執行

發現 刷新 asc 特殊 spa 如果 resp 添加 div 我們都知道在aspx頁面的cs文件中只要用Respos.Write("<script></scritp>")就可以在前臺執行腳本 但是在MVC中就不一樣了,返回腳本要給定腳本類型返回。如

ASP.NET MVC 網頁應用 action 傳遞的Model

檢視介面 @using {引用模型} @model {具體模型} <html> @Model.{具體模型的屬性} </html> 注意區分Model的大小寫 引入時,使用@model,呼叫使用@Model 多個模型,泛型? @using

ASP.NET MVC擴充套件非同步Action功能(下)

執行Action方法 對於執行同步Action的SyncMvcHandler,其實現十分簡單而直接:public class SyncMvcHandler : IHttpHandler, IRequiresSessionState { public SyncMvcHandler(

ASP.NET MVC擴充套件非同步Action功能(上)

非同步請求處理是ASP.NET 2.0中引入的高階特性,它依託IO Complete Port,對於提高IO密集型應用程式的吞吐量非常重要(詳見原理描述和效能測試)。但是目前ASP.NET MVC框架缺少非同步Action功能,這也就是老趙經常掛在嘴邊的那個“目前ASP.NET MVC所缺少的非常重要的功能

ASP.NET MVC Filter過濾機制(過濾器、攔截器)

在MVC中有一個過濾機制,可以編寫為過濾器或攔截器,用於對在某個Action執行前後再執行的動作。 過濾器繼承自ActionFilterAttribute類(名稱空間是System.Web.Mvc) ActionFilterAttribute類是一個特性類。

(轉)從零開始學習ASP.NET MVC(三) Controller/Action 深入解析和應用

一.摘要 一個Url請求經過了Routing處理後會呼叫Controller的Action方法. 中間的過程是怎樣的? Action方法中返回ActionResult物件後,如何到達View的? 本文將講解Controller的基本用法,  深入分析Controller的執行機制, 並且提供了建立所有型別A

Asp.Net MVC控制器中Action的返回值型別

控制器中Action的返回值型別有很多,最常見的是ActionResult,通過檢視原始碼可以發現ActionResult是一個抽象類,它有很多的子類。如果Action的返回值型別為ActionResult,那麼可以返回任意子類物件;如果Action的返回值型別

【開源分享:入門到精通ASP.NET MVC+EF6+Bootstrap】從這裏開始一起搭框架(1)開篇介紹

strong src 擁有 ckeditor 開發 技術分享 mdi 控制 https 框架簡介 這幾年一直在做ASP.NET開發,幾年前做項目都是老老實實一行行的寫代碼,後來發現那些高手基本都會有自己積累起來的代碼庫,現在稱之為開發框架,基礎代碼不用再去堆,

ASP.NET MVC + EF 利用儲存過程讀取大資料1億資料測試很OK

 看到本文的標題,相信你會忍不住進來看看!   沒錯,本文要講的就是這個重量級的東西,這個不僅僅支援單表查詢,更能支援連線查詢,   加入一個表10W資料,另一個表也是10萬資料,當你用linq建立一個連線查詢然後

asp.net過濾非法字元防止SQL注入

  string UserName = FunStr(Request.Form["UserName"].ToString()); string UserPwd = FunStr(Request.Form["UserPwd"].ToString());  public sta

淺析php過濾html字串,防止SQL注入的方法

本篇文章是對php中過濾html字串,防止SQL注入的方法進行了詳細的分析介紹,需要的朋友參考下   批量過濾post,get敏感資料 複製程式碼 程式碼如下: $_GET = stripslashes_array($_GET); $_POST = st

asp.net mvc 使用Ajax調用Action 返回數據【轉】

action 書寫格式 處理 cli 屬性和方法 根據 txt gif 一個 使用asp.net mvc 調用Action方法很簡單。 一、無參數方法。 1、首先,引入jquery-1.5.1.min.js 腳本,根據版本不同大家自行選擇。 <script src=

Asp.net Mvc action返回多個模型實體給view

姓名 query ont info erb users box html asp 1、controller中action代碼: public class HomeController : Controller { public ActionResu

ASP.NET MVC下的異步Action的定義和執行原理

urn des {0} 不同 exce .class 遠程 是否 了解 Visual Studio提供的Controller創建向導默認為我們創建一個繼承自抽象類Controller的Controller類型,這樣的Controller只能定義同步Action方法。如果我們

asp.net mvc 5 關閉xss過濾

turn urn ase action valid session 頭部 cti class 在控制器方法的頭部添加 [ValidateInput(false)] 如果向mvc服務端提交帶html標簽的內容就會導致校驗失敗異常,從而得不到想要的結果,關閉的方法

[ASP.NET MVC 小牛之路]12 - Section、Partial View 和 Child Action

概括的講,View中的內容可以分為靜態和動態兩部分。靜態內容一般是html元素,而動態內容指的是在應用程式執行的時候動態建立的內容。給View新增動態內容的方式可歸納為下面幾種: Inline code,小的程式碼片段,如 if 和 foreach 語句。 Html hel

ASP.NET MVC中Section、Partial View 和 Child Action(轉載)

概括的講,View中的內容可以分為靜態和動態兩部分。靜態內容一般是html元素,而動態內容指的是在應用程式執行的時候動態建立的內容。給View新增動態內容的方式可歸納為下面幾種: Inline code,小的程式碼片段,如 if 和 foreach 語句。 Html helper方法,用來生成單個

ASP.NET MVC使用Action過濾器處理方法

Action過濾器在動作方法之前及之後執行,Result過濾器在動作結果被執行之前和之後執行。 1、Action過濾器 在ASP.NET MVC中建立MvcApp專案,建立資料夾Filter,然後新建類MyActionFilterAttribute(為了遵循預設的約定,名稱以Attrib

asp.net mvc 使用Ajax呼叫Action 返回資料【轉】

    使用asp.net mvc 呼叫Action方法很簡單。 一、無引數方法。 1、首先,引入jquery-1.5.1.min.js 指令碼,根據版本不同大家自行選擇。 <script src="@Url.Content("~/