解决方案是:
1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;
2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理后,要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。
3、在数据访问层,绝大多数采用存储过程访问数据,调用时以存储过程参数的方式访问,也会很好的防止注入式攻击。

/**////

/// 判断字符串中是否有SQL攻击代码

///

/// 传入用户提交数据

/// true-安全;false-有注入攻击现有;

public bool ProcessSqlStr(string inputString)

{

     string  SqlStr  =  "and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

       {

          if ((inputString != null) && (inputString != String.Empty))

           {

              string str_Regex = @"\b(" + SqlStr + @")\b";

              Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

              //string s = Regex.Match(inputString).Value;

              if (true == Regex.IsMatch(inputString))

                 return false;

          }

      }

      catch

       {

          return false;

     }

      return true;

  }

  /**////

  /// 处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行

  /// System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,

  /// 在Web.Config文件时里面添加一个 ErrorPage 即可

  ///

  ///

  ///

  public void ProcessRequest()

  {

      try

       {

          string getkeys = "";

          string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString();

          if (System.Web.HttpContext.Current.Request.QueryString != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

          if (System.Web.HttpContext.Current.Request.Form != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.Form.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

      }

      catch

       {

          // 错误处理: 处理用户提交信息!

      }

  }

  #endregion

  //转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)#region // 转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)

  /**////

  /// 提取字符固定长度

  ///

  ///

  ///

  ///

  public string CheckStringLength(string inputString, Int32 maxLength)

  {

      if ((inputString != null) && (inputString != String.Empty))

       {

          inputString = inputString.Trim();

          if (inputString.Length > maxLength)

              inputString = inputString.Substring(, maxLength);

      }

      return inputString;

  }
  
 /**////

 /// 将输入字符串中的sql敏感字,替换成"[敏感字]",要求输出时,替换回来

 ///

 ///

 ///

 public string MyEncodeInputString(string inputString)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((inputString != null) && (inputString != String.Empty))

          {

             string str_Regex = @"\b(" + SqlStr + @")\b";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             //string s = Regex.Match(inputString).Value;

             MatchCollection matches = Regex.Matches(inputString);

             for (int i = ; i < matches.Count; i++)

                 inputString = inputString.Replace(matches[i].Value, "[" + matches[i].Value + "]");

         }

     }

     catch

      {

         return "";

     }

     return inputString;

 }
 
 /**////

 /// 将已经替换成的"[敏感字]",转换回来为"敏感字"

 ///

 ///

 ///

 public string MyDecodeOutputString(string outputstring)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((outputstring != null) && (outputstring != String.Empty))

          {

             string str_Regex = @"\[\b(" + SqlStr + @")\b\]";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             MatchCollection matches = Regex.Matches(outputstring);

             for (int i = ; i < matches.Count; i++)

                 outputstring = outputstring.Replace(matches[i].Value, matches[i].Value.Substring(, matches[i].Value.Length - ));

         }

     }

     catch

      {

         return "";

     }

     return outputstring;

 }

 #endregion

防止sql注入式攻击 SQL注入学习——三层架构的更多相关文章

  1. SQL注入详细介绍及如何防范SQL注入式攻击

    一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面 ...

  2. 什么是SQL注入式攻击

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  3. 什么是SQL注入式攻击和如何防范?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  4. 浅谈C#.NET防止SQL注入式攻击

    1#region 防止sql注入式攻击(可用于UI层控制)  2  3///   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// true-安全:f ...

  5. 什么是SQL注入式攻击?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  6. 如何防范SQL注入式攻击

    一.什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者 ...

  7. 如何防止SQL注入式攻击

    一.什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或 ...

  8. SQL注入式攻击

    百度百科:http://baike.baidu.com/link?url=GQbJ2amTzTahZA7XJSBDLYYkN3waQ9JCoJ0l--tCWlvKQibe0YaH4hpmgEnLyn0 ...

  9. ADO.NET复习总结(3)--参数化SQL语句--防止sql注入式攻击

    1.SQL 注入 2.使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter Command的属性parameters是一个参数集合. 3.举例<查询 ...

随机推荐

  1. [转]NHibernate之旅(2):第一个NHibernate程序

    本节内容 开始使用NHibernate 1.获取NHibernate 2.建立数据库表 3.创建C#类库项目 4.设计Domain 4-1.设计持久化类 4-2.编写映射文件 5.数据访问层 5-1. ...

  2. HDOJ/HDU 2163 Palindromes(判断回文串~)

    Problem Description Write a program to determine whether a word is a palindrome. A palindrome is a s ...

  3. vijosP1687 细菌总数

    vijosP1687 细菌总数 链接:https://vijos.org/p/1687 [思路] 错排公式+高精度. 题目要求排列数目而且不能有Pi==i的情况出现,可以看出这正是1,2,3,4,5, ...

  4. java 解惑

    java对转义字符没有提供任何特殊处理.编译器在将程序解析成各种符号之前,先将 Unicode 转义字符转换成为它们所表示的字符[JLS 3.2]

  5. noip2011 公交观光

    描述 风景迷人的小城Y市,拥有n个美丽的景点.由于慕名而来的游客越来越多,Y市特意安排了一辆观光公交车,为游客提供更便捷的交通服务.观光公交车在第0分钟出现在1号景点,随后依次前往2.3.4……n号景 ...

  6. Android基于XMPP Smack Openfire下学习开发IM(六)总结

    不管学习什么都应该总结 这里我把关于Xmpp的一些方法整理到一个工具类中了 我就分享给大家 XmppConnection.java package com.techrare.utils; import ...

  7. UVA 10194 Football (aka Soccer)

     Problem A: Football (aka Soccer)  The Problem Football the most popular sport in the world (america ...

  8. mac下教你如何开源项目托管GitHub

    自从google code关闭了下载服务了之后,GitHub作为了目前最好用的免费开源项目托管站点,众多开源项目都托管在github,其中不乏著名的播放器MPC-HC. 这里教大家如何把代码库上传到G ...

  9. 实践javascript美术馆的小案例,学习到的东西还是蛮多的,包括javascript编程中的预留退路、分离javascript、以及实现向后兼容等

    javascript美术馆(改进2) 一.javascript编程过程中的好习惯 1.实现预留退路 js被禁掉,图片也可以显示出来,href属性带有图片路径 <script src=" ...

  10. 部分 CM11 系统 Android 平板执行植物大战僵尸 2 黑屏的解决的方法

    原文 http://forum.xda-developers.com/showthread.php?t=2755197 部分 CM11 系统的 Android 平板(比如三星 GT-P5110 )执行 ...