解决方案是:
1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;
2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理后,要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。
3、在数据访问层,绝大多数采用存储过程访问数据,调用时以存储过程参数的方式访问,也会很好的防止注入式攻击。

/**////

/// 判断字符串中是否有SQL攻击代码

///

/// 传入用户提交数据

/// true-安全;false-有注入攻击现有;

public bool ProcessSqlStr(string inputString)

{

     string  SqlStr  =  "and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

       {

          if ((inputString != null) && (inputString != String.Empty))

           {

              string str_Regex = @"\b(" + SqlStr + @")\b";

              Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

              //string s = Regex.Match(inputString).Value;

              if (true == Regex.IsMatch(inputString))

                 return false;

          }

      }

      catch

       {

          return false;

     }

      return true;

  }

  /**////

  /// 处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行

  /// System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,

  /// 在Web.Config文件时里面添加一个 ErrorPage 即可

  ///

  ///

  ///

  public void ProcessRequest()

  {

      try

       {

          string getkeys = "";

          string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString();

          if (System.Web.HttpContext.Current.Request.QueryString != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

          if (System.Web.HttpContext.Current.Request.Form != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.Form.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

      }

      catch

       {

          // 错误处理: 处理用户提交信息!

      }

  }

  #endregion

  //转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)#region // 转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)

  /**////

  /// 提取字符固定长度

  ///

  ///

  ///

  ///

  public string CheckStringLength(string inputString, Int32 maxLength)

  {

      if ((inputString != null) && (inputString != String.Empty))

       {

          inputString = inputString.Trim();

          if (inputString.Length > maxLength)

              inputString = inputString.Substring(, maxLength);

      }

      return inputString;

  }
  
 /**////

 /// 将输入字符串中的sql敏感字,替换成"[敏感字]",要求输出时,替换回来

 ///

 ///

 ///

 public string MyEncodeInputString(string inputString)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((inputString != null) && (inputString != String.Empty))

          {

             string str_Regex = @"\b(" + SqlStr + @")\b";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             //string s = Regex.Match(inputString).Value;

             MatchCollection matches = Regex.Matches(inputString);

             for (int i = ; i < matches.Count; i++)

                 inputString = inputString.Replace(matches[i].Value, "[" + matches[i].Value + "]");

         }

     }

     catch

      {

         return "";

     }

     return inputString;

 }
 
 /**////

 /// 将已经替换成的"[敏感字]",转换回来为"敏感字"

 ///

 ///

 ///

 public string MyDecodeOutputString(string outputstring)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((outputstring != null) && (outputstring != String.Empty))

          {

             string str_Regex = @"\[\b(" + SqlStr + @")\b\]";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             MatchCollection matches = Regex.Matches(outputstring);

             for (int i = ; i < matches.Count; i++)

                 outputstring = outputstring.Replace(matches[i].Value, matches[i].Value.Substring(, matches[i].Value.Length - ));

         }

     }

     catch

      {

         return "";

     }

     return outputstring;

 }

 #endregion

防止sql注入式攻击 SQL注入学习——三层架构的更多相关文章

  1. SQL注入详细介绍及如何防范SQL注入式攻击

    一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面 ...

  2. 什么是SQL注入式攻击

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  3. 什么是SQL注入式攻击和如何防范?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  4. 浅谈C#.NET防止SQL注入式攻击

    1#region 防止sql注入式攻击(可用于UI层控制)  2  3///   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// true-安全:f ...

  5. 什么是SQL注入式攻击?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  6. 如何防范SQL注入式攻击

    一.什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者 ...

  7. 如何防止SQL注入式攻击

    一.什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或 ...

  8. SQL注入式攻击

    百度百科:http://baike.baidu.com/link?url=GQbJ2amTzTahZA7XJSBDLYYkN3waQ9JCoJ0l--tCWlvKQibe0YaH4hpmgEnLyn0 ...

  9. ADO.NET复习总结(3)--参数化SQL语句--防止sql注入式攻击

    1.SQL 注入 2.使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter Command的属性parameters是一个参数集合. 3.举例<查询 ...

随机推荐

  1. poj magic number

    Problem H Time Limit : 4000/2000ms (Java/Other)   Memory Limit : 65536/32768K (Java/Other) Total Sub ...

  2. Arrays.sort源代码解析

    Java Arrays.sort源代码解析 Java Arrays中提供了对所有类型的排序.其中主要分为Primitive(8种基本类型)和Object两大类. 基本类型:采用调优的快速排序: 对象类 ...

  3. install Active Directory域控制器

    设置Active Directory域控制器 正如我们在网络与系统配置专题文章中所提到的那样,我们已将两部服务器设置为对应于内部域“intdomain.com”的Active Directory域控制 ...

  4. mongodb在window下和linux下的部署 和 安装可视化工具

    Windows安装    安装Mongo数据库: 在发布本文的时间官方提供的最新版本是:2.4.0 ,如果不做特殊声明,本教程所用的版本将会是这个版本. 第一步:下载安装包:http://www.mo ...

  5. jetty之安装,配置,部署,运行

    上篇文章中详解了关于什么是jetty,后续文章主要是介绍jetty的使用.本章介绍jetty环境的配置及部署war包. 1. 安装 1. 先下载一个jetty的压缩包,下载地址:http://www. ...

  6. SSO之CAS备忘

    http://blog.chinaunix.net/uid-28380443-id-4740103.html 自己负责的公司基于CAS单点登录平台架构已经上线运行,很多细节的东西是时候备忘一下了,开源 ...

  7. Struts中常用的几个技术

    Struts ognl表达式语言几个符号 #  获取非根元素值  . 动态都建map集合 $  配置文件取值 %  提供一个ognl表达式运行环境 代码示例一:在action类的一个方法中讲一个值存入 ...

  8. Win7 下安装RabbitMQ

    RabbitMQ依赖erlang,所以先安装erlang,然后再安装RabbitMQ; 下载RabbitMQ,下载地址: rabbitmq-server-3.5.6.exe和erlang,下载地址:o ...

  9. backpropagate

    http://blog.csdn.net/celerychen2009/article/details/8964753

  10. Qt编写串口通信程序全程图文解说

    (说明:我们的编程环境是windows xp下,在Qt Creator中进行,假设在Linux下或直接用源代码编写,程序稍有不同,请自己修改.) 在Qt中并没有特定的串口控制类,如今大部分人使用的是第 ...