目前只支持单个对象,不支持对象中包含对象

    /// <summary>

    /// 检查SQL中的非法字符

    /// </summary>

    public class SQLInjectionScanner

    {

        private static string sqlCheck;

        static SQLInjectionScanner()

        {

            if (string.IsNullOrEmpty(sqlCheck))

            {

                sqlCheck = "declare|exec|varchar|cursor|begin|open|drop|creat|select|truncate";

            }

        }

        /// <summary>

        ///

        /// </summary>

        /// <param name="functionName"></param>

        /// <param name="args"></param>

        public static void CheckForSQLInjection(string functionName, params object[] args)

        {

            int argIndex = -;

            try

            {

                foreach (object item in args)

                {

                    argIndex++;

                    Type T = item.GetType();

                    if (T.Name == "String")

                    {

                        CheckForSQLInjectionString(item.ToString());

                    }

                    else if (T.IsClass && !T.IsValueType)

                    {

                        CheckForSQLInjectionObject(item);

                    }

                }

            }

            catch (ArgumentException ex)

            {

                string msg = string.Format("方法{0},{1}", functionName, ex.Message);

                //记录sql注入的日志

                throw new ArgumentException(msg);

            }

            catch (Exception ex)

            {

                //记录日志

            }

        }

        /// <summary>

        /// 字符串验证

        /// </summary>

        /// <param name="inputString"></param>

        private static void CheckForSQLInjectionString(string inputString)

        {

            bool isSQLInjection = CheckForSQLInjectionProcess(inputString, sqlCheck);

            if (isSQLInjection)

            {

                string msg = string.Format("参数有SQL攻击嫌疑,参数值:{0}", inputString);

                throw new ArgumentException(msg);

            }

        }

        public static void CheckForSQLInjectionObject(object input)

        {

            Type t = input.GetType();

            var ps = t.GetProperties();

            //字段处理

            //字段处理

            FieldInfo[] fields = t.GetFields(BindingFlags.Public | BindingFlags.Instance);

            foreach (FieldInfo fi in fields)

            {

                string temp = string.Empty;

                if (fi.FieldType.Name == "String")

                {

                    object userInput = fi.GetValue(input);

                    if (userInput != null)

                    {

                        bool isSQLInjection = CheckForSQLInjectionProcess(userInput.ToString(), sqlCheck);

                        if (isSQLInjection)

                        {

                            string msg = string.Format("字段{0},参数有SQL攻击嫌疑,参数值:{1}", string.Concat(t.Name, ".", fi.Name), userInput.ToString());

                            throw new ArgumentException(msg);

                        }

                    }

                }

            }

            //属性处理

            foreach (var pi in ps)

            {

                if (pi.PropertyType.Name == "String")

                {

                    object userInput = pi.GetValue(input, null);

                    if (userInput != null)

                    {

                        bool isSQLInjection = CheckForSQLInjectionProcess(userInput.ToString(), sqlCheck);

                        if (isSQLInjection)

                        {

                            string msg = string.Format("字段{0},参数有SQL攻击嫌疑,参数值:{1}", string.Concat(t.Name, ".", pi.Name), userInput.ToString());

                            throw new ArgumentException(msg);

                        }

                    }

                }

                Type tItem = pi.GetType();

            }

        }

        private static bool CheckForSQLInjectionProcess(string userInput, string sqlCheck)

        {

            bool isSQLInjection = false;

            try

            {

                string[] sqlCheckList = sqlCheck.Split('|');

                string CheckString = userInput.Replace("'", "''");

                for (int i = ; i <= sqlCheckList.Length - ; i++)

                {

                    if ((CheckString.IndexOf(sqlCheckList[i].Trim(),

                            StringComparison.OrdinalIgnoreCase) >= ))

                    {

                        isSQLInjection = true;

                    }

                }

            }

            catch

            {

                isSQLInjection = false;

            }

            return isSQLInjection;

        }

    }

SQL注入检测的更多相关文章

  1. 常见的SQL注入检测语句(转载)

    0x00 前言 现在很多WAF都能拦截sqlmap.havij 等注入工具的发包注入,所以这时我们需要在浏览器上使用hackerbar 进行手工注入,或者说是手工绕过注入攻击 0x01 发现SQL 注 ...

  2. sqlmap和burpsuite绕过csrf token进行SQL注入检测

    利用sqlmap和burpsuite绕过csrf token进行SQL注入 转载请注明来源:http://www.cnblogs.com/phoenix--/archive/2013/04/12/30 ...

  3. SQL注入检测方法

    private bool CheckParams(params object[] args){ string[] Lawlesses={"=","'"}; if ...

  4. 利用sqlmap对网站进行sql注入检测

    1.下载sqlmap github地址:https://github.com/sqlmapproject/sqlmap/zipball/master 2.sqlmap的运行环境需要python,这个网 ...

  5. 防止sql注入和sqlmap介绍

    sql注入问题从WEB诞生到现在也一直没停过,各种大小公司都出现过sql注入问题,导致被拖库,然后存在社工库撞库等一系列影响. 防止sql注入个人理解最主要的就一点,那就是变量全部参数化,能根本的解决 ...

  6. 电子商务网站SQL注入项目实战一例

    故事A段:发现整站SQL对外输出: 有个朋友的网站,由于是外包项目,深圳某公司开发的,某天我帮他检测了一下网站相关情况. 我查看了页面源代码,发现了个惊人的事情,竟然整站打印SQL到Html里,着实吓 ...

  7. MySQL SQL 注入

    如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题. 本博文将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符. 所谓SQL注入,就是 ...

  8. Go--避免SQL注入

    避免SQL注入 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞.可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出 ...

  9. mysql sql注入

    防止SQL注入,我们需要注意以下几个要点: 1.永远不要信任用户的输入.对用户的输入进行校验,可以通过正则表达式,或限制长度:对单引号和 双"-"进行转换等. 2.永远不要使用动态 ...

随机推荐

  1. 『TensorFlow』降噪自编码器设计

    背景简介 TensorFlow实现讲解 设计新思路: 1.使用类来记录整个网络: 使用_init_()属性来记录 网络超参数 & 网络框架 & 训练过程 使用一个隐式方法初始化网络参数 ...

  2. linux下无root 安装activepython到指定目录

    linux下无root 安装activepython 1.下载ActivePython-2.7.8.10-linux-x86_64.tar.gz 包 2.进入非root用户,如bdc用户,解压 [bd ...

  3. Eclipse+Spring boot开发教程

    一.安装 其实spring boot官方已经提供了用于开发spring boot的定制版eclipse(STS,Spring Tool Suite)直接下载使用即可,但考虑到可能有些小伙伴不想又多装个 ...

  4. 各大型网站架构分析收集-原网址http://blog.csdn.net/lovingprince/article/details/3379710

    1. PlentyOfFish 网站架构学习http://www.dbanotes.net/arch/plentyoffish_arch.html 采取 Windows 技术路线的 Web 2.0 站 ...

  5. .net core WebApi Mutex实现并发同步

    Mutex,中文译为互斥体,在.net中也是作为一种线程或进程之间的互斥体存在.即在同一时刻,一个共享资源只允许被某一个线程或进程访问,其他线程或进程需要等待(直至获取互斥锁为止). Mutex的使用 ...

  6. centos 解决中文支持问题, 如此修改可以修正eclipse 乱码问题。

    一.中文支持 安装中文语言包: yum groupinstall chinese-support 修改字符编码配置,没有这个文件就创建它: vim /etc/sysconfig/i18n 为 LANG ...

  7. Java语法基础学习DayTwelve(泛型)

    一.泛型(Generic)在集合中的使用 1.作用 (1)解决元素存储的安全问题 (2)解决获取数据元素时,需要类型强转的问题 2.代码案例 //在集合没有使用泛型的情况下 List list = n ...

  8. (转)Web.config配置文件详解

    花了点时间整理了一下ASP.NET Web.config配置文件的基本使用方法.很适合新手参看,由于Web.config在使用很灵活,可以自定义一些节点.所以这里只介绍一些比较常用的节点. <? ...

  9. Costura.Fody合并DLL和EXE

    1.打开Nuget包管理器 2. 输入 Install-Package Costura.Fody -Version 3.3.0 3.之后Costura.Fody会嵌入到工程中,如果没有手动添加一下 4 ...

  10. 常用解压包命令----tar--rar

    systemctl stop firewalld    --关闭 linux服务器防火墙 1.*.tar 用 tar –xvf 解压  2.*.gz 用 gzip -d或者gunzip 解压 3.*. ...