SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

using System;

using System.Collections.Generic;

using System.Text;

using System.Web;

using System.Text.RegularExpressions;

namespace Core.Common

{

    /// <summary>

    /// SQL注入帮助

    /// </summary>

    public class SQLInjectionHelper

    {

        private const string StrKeyWord = @".*(select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and).*";

        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";

        /// <summary>

        /// 获取Post的数据

        /// </summary>

        public static bool ValidUrlPostData()

        {

            bool result = false;

            for (int i = ; i < HttpContext.Current.Request.Form.Count; i++)

            {

                result = ValidData(HttpContext.Current.Request.Form[i].ToString());

                if (result)

                {

                    LogHelper.Info("检测出POST恶意数据: 【" + HttpContext.Current.Request.Form[i].ToString() + "】 URL: 【" + HttpContext.Current.Request.RawUrl + "】来源: 【" + HttpContext.Current.Request.UserHostAddress + "】");

                    break;

                }//如果检测存在漏洞

            }

            return result;

        }

        /// <summary>

        /// 获取QueryString中的数据

        /// </summary>

        public static bool ValidUrlGetData()

        {

            bool result = false;

            for (int i = ; i < HttpContext.Current.Request.QueryString.Count; i++)

            {

                result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());

                if (result)

                {

                    LogHelper.Info("检测出GET恶意数据: 【" + HttpContext.Current.Request.QueryString[i].ToString() + "】 URL: 【" + HttpContext.Current.Request.RawUrl + "】来源: 【" + HttpContext.Current.Request.UserHostAddress + "】");

                    break;

                }//如果检测存在漏洞

            }

            return result;

        }

        /// <summary>

        /// 验证是否存在注入代码

        /// </summary>

        /// <param name="inputData"></param>

        public static bool ValidData(string inputData)

        {

            //里面定义恶意字符集合

            //验证inputData是否包含恶意集合

            if (Regex.IsMatch(inputData.ToLower(), GetRegexString()))

            {

                return true;

            }

            else

            {

                return false;

            }

        }

        /// <summary>

        /// 获取正则表达式

        /// </summary>

        /// <param name="queryConditions"></param>

        /// <returns></returns>

        private static string GetRegexString()

        {

            //构造SQL的注入关键字符

            string[] strBadChar =

        {

            "and"

            ,"exec"

            ,"insert"

            ,"select"

            ,"delete"

            ,"update"

            ,"count"

            ,"from"

            ,"drop"

            ,"asc"

            ,"char"

            ,"or"

            ,"%"

            ,";"

            ,":"

            ,"\'"

            ,"\""

            ,"-"

            ,"chr"

            ,"mid"

            ,"master"

            ,"truncate"

            ,"char"

            ,"declare"

            ,"SiteName"

            ,"net user"

            ,"xp_cmdshell"

            ,"/add"

            ,"exec master.dbo.xp_cmdshell"

            ,"net localgroup administrators"

        };

            //构造正则表达式

            string str_Regex = ".*(";

            for (int i = ; i < strBadChar.Length - ; i++)

            {

                str_Regex += strBadChar[i] + "|";

            }

            str_Regex += strBadChar[strBadChar.Length - ] + ").*";

            return str_Regex;

        }

        /// <summary>

        /// 检测是否有Sql危险字符

        /// </summary>

        /// <param name="str">要判断字符串</param>

        /// <returns>判断结果</returns>

        public static bool IsSafeSqlString(string str)

        {

            return !Regex.IsMatch(str, @"[-|;|,|\/|\(|\)|\[|\]|\}|\{|%|@|\*|!|\']");

        }

        /// <summary> SQL注入等安全验证

        /// 检测是否有危险的可能用于链接的字符串

        /// </summary>

        /// <param name="str">要判断字符串</param>

        /// <returns>判断结果</returns>

        public static bool IsSafeUserInfoString(string str)

        {

            return !Regex.IsMatch(str, @"^\s*$|^c:\\con\\con$|[%,\*" + "\"" + @"\s\t\<\>\&]|游客|^Guest");

        }

        #region 检测客户的输入中是否有危险字符串

        /// <summary>

        /// 检测客户输入的字符串是否有效,并将原始字符串修改为有效字符串或空字符串。

        /// 当检测到客户的输入中有攻击性危险字符串,则返回false,有效返回true。

        /// </summary>

        /// <param name="input">要检测的字符串</param>

        public static bool IsValidInput(ref string input)

        {

            try

            {

                //替换单引号

                input = input.Replace("'", "''").Trim();

                //检测攻击性危险字符串

                string testString = "and |or |exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";

                string[] testArray = testString.Split('|');

                foreach (string testStr in testArray)

                {

                    if (input.ToLower().IndexOf(testStr) != -)

                    {

                        //检测到攻击字符串,清空传入的值

                        input = "";

                        return false;

                    }

                }

                //未检测到攻击字符串

                return true;

            }

            catch (Exception ex)

            {

                throw new Exception(ex.Message);

            }

        }

        #endregion

    }

}

SQLInjectionHelper

C#工具:防sql注入帮助类的更多相关文章

  1. mysql之数据库连接的方法封装及防sql注入

    一.定义数据库和表 create database animal; CREATE TABLE `pet` (  `id` int(11) NOT NULL AUTO_INCREMENT,  `name ...

  2. SpringBoot微服务电商项目开发实战 --- api接口安全算法、AOP切面及防SQL注入实现

    上一篇主要讲了整个项目的子模块及第三方依赖的版本号统一管理维护,数据库对接及缓存(Redis)接入,今天我来说说过滤器配置及拦截设置.接口安全处理.AOP切面实现等.作为电商项目,不仅要求考虑高并发带 ...

  3. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  4. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  5. 【转载】C#防SQL注入过滤危险字符信息

    不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...

  6. 回头探索JDBC及PreparedStatement防SQL注入原理

    概述 JDBC在我们学习J2EE的时候已经接触到了,但是仅是照搬步骤书写,其中的PreparedStatement防sql注入原理也是一知半解,然后就想回头查资料及敲测试代码探索一下.再有就是我们在项 ...

  7. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  8. golang 防SQL注入 基于反射、TAG标记实现的不定参数检查器

    收到一个任务,所有http的handler要对入参检查,防止SQL注入.刚开始笨笨的,打算为所有的结构体写一个方法,后来统计了下,要写几十上百,随着业务增加,以后还会重复这个无脑力的机械劳作.想想就l ...

  9. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

随机推荐

  1. Java_重载与重写

    在java中,重载与重写都是多态的体现.重载(Overload)体现的是编译时多态,而重写(Override)体现了运行时多态. 重载(Overload): 定义:在一个类中,同名的方法如果有不同的参 ...

  2. 微信小程序开发---视图层(View)

    WXML WXML能力: 数据绑定 列表渲染 条件渲染 模板 事件 数据绑定 数据绑定使用 Mustache 语法(双大括号)将变量包起来,可作用于内容,组件属性(需要在双引号之内),控制属性(需要在 ...

  3. redis消息队列,tp5.0,高并发,抢购

    redis处理抢购,并发,防止超卖,提速 1.商品队列(List列表),goods_list           控制并发,防止超卖 2.订单信息(Hash集合),order_info        ...

  4. unittest测试套件

    测试套件就是测试集,测试集是测试用例的集合. a.按用例顺序执行(addtest) 当addtest与unittest的测试规则冲突时,仍然按照ASCII码的顺序执行. import unittest ...

  5. 二分- Count on Canton

    题目: 代码: 是一个蛇形数列,把题目上的那组数倒过来看成一个正三角形. 第一行有1个数,1-2行有三个数,1-4行有6个数,1-4行有10个数,1-5行有15个数..... 现在要求第n个数是多少, ...

  6. python Cookie Session 相关用法

    Cookie一.前言1.http协议是无状态的. 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响 应情况直接影响,也不会直接影响后面的请 ...

  7. Spring框架中<constructor-arg>与<property>理解

    配置文件的根元素是beans,每个组件使用bean元素来定义,bean元素可以有许多属性,其中有两个是必须的:id和class.id表示组件的默认名称,class表示组件的类型. 依赖注入的方式:  ...

  8. C# 数组结构

    数组结构: Array :在内存上是连续分配的,而且元素类型是一致的: 特点:是读取快 可以坐标访问 但是增删慢,长度不能变 比如 int[] intArray=new int[20]; intArr ...

  9. 【安富莱专题教程第5期】工程调试利器RTT实时数据传输组件,替代串口调试,速度飞快,可以在中断和多任务中随意调用

    说明:1.串口作为经典的调试方式已经存在好多年了,缺点是需要一个专门的硬件接口.现在有了SEGGER的RTT(已经发布有几年了),无需占用系统额外的硬件资源,而且速度超快,是替代串口调试的绝佳方式.2 ...

  10. Python学习宝典,Python400集让你成为从零基础到手写神经网络的Python大神

    当您学完Python,你学到了什么? 开发网站! 或者, 基础语法要点.函数.面向对象编程.调试.IO编程.进程与线程.正则表达式... 当你学完Python,你可以干什么? 当程序员! 或者, 手写 ...