安科网

asp.net 防止SQL注入攻击

CLASSICHUO

CLASSICHUO

2009-06-04

关注 关注
只要做到以下三点,网站就会比较安全了而且维护也简单。
一、数据验证类

代码如下:

parameterCheck.cs 
public class parameterCheck{ 
public static bool isEmail(string emailString){ 
return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['\\w_-]+(\\. 
['\\w_-]+)*@['\\w_-]+(\\.['\\w_-]+)*\\.[a-zA-Z]{2,4}"); 
} 
public static bool isInt(string intString){ 
return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(\\d{5}-\\d{4})| 
(\\d{5})$"); 
} 
public static bool isUSZip(string zipString){ 
return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9] 
+$"); 
} 
}

二、Web.config
在你的Web.config文件中,在下面增加一个标签,如下:

代码如下:

<appSettings> 
<add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode- 
USzip" /> 
</appSettings>

其中key是后面的值为“OrderId-int32”等,其中“-”前面表示参数的名称比如:OrderId,后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段:

代码如下:

protected void Application_BeginRequest(Object sender, EventArgs e){ 
String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings 
["safeParameters"].ToString().Split(','); 
for(int i= 0 ;i < safeParameters.Length; i++){ 
String parameterName = safeParameters[i].Split('-')[0]; 
String parameterType = safeParameters[i].Split('-')[1]; 
isValidParameter(parameterName, parameterType); 
} 
} 
public void isValidParameter(string parameterName, string parameterType){ 
string parameterValue = Request.QueryString[parameterName]; 
if(parameterValue == null) return; 
if(parameterType.Equals("int32")){ 
if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx"); 
} 
else if (parameterType.Equals("double")){ 
if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx"); 
} 
else if (parameterType.Equals("USzip")){ 
if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx"); 
} 
else if (parameterType.Equals("email")){ 
if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx"); 
} 
}

以后需要修改的时候大家只修改以上三个文件就可以了,整个系统的维护效率将会提高,当然你也可以根据自己的需要增加其它的变量参数和数据类型等等。

string sql注入 parametertype sql注入攻击

CLASSICHUO

CLASSICHUO

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Dapper 封装02-组装SQL

在 SQLSERVER 里,我们在执行命令的时候我们是可以进行参数化传递的。这个好处主要可以防止注入。我们正常写一个 Where 语句,比如WHERE Age=23 and name like ‘%delaywu%‘。从这句话中我们知道一个where 表达

qshpeng 2020-07-26

golang的序列化与反序列化的几种方式

golang用来序列化的模块有很多,我们来介绍3个。首先登场的是json,这个几乎毋庸置疑。"Where": "东方地灵殿",当然golang的大小写我们知道是具有含义的,如果改成小写, 那么该字段是无法被序列化的。

Lzs 2020-10-23

Redis中的String类型及使用Redis解决订单秒杀超卖问题

本系列将和大家分享Redis分布式缓存,本章主要简单介绍下Redis中的String类型,以及如何使用Redis解决订单秒杀超卖问题。Redis中5种数据结构之String类型:key-value的缓存,支持过期,value不超过512M。Redis是单线

聚合室 2020-11-16

springboot +redis 实现点赞、浏览、收藏、评论等数量的增减操作

最近做了一个帖子的收藏、点赞数量的功能,其实之前也做过类似的功能,因为之前一直使用的mysql 总是感觉对于这种频繁需要改变的值,不应该给予Mysql过大的压力,本文章采用的是redis 做了持久化。下面贴出关键代码:DataResponse是项目中使用的

2020-09-18

Ajax实现登录案例

// String jsonStr = "{\"flag\":false,\"info\":\"用户名已经注册\"}";

baiwen 2020-09-21

php使用event扩展的io复用测试的示例

//sock_set_option; //复用还处于 TIME_WAIT

Nicolase 2020-10-20

Golang和Rust语言常见功能/库

时下最流行、最具发展前途的的两门语言是Golang和Rust。Golang语言简洁、高效、并发、并且有个强大的囊括了常见功能标准库。与之相对比,Rust语言则主要是安全、高性能。虽然Rust没有golang那种"内置电池"的标准库,但是

Justhavefun 2020-10-22

好用到哭!请记住这20段Python代码

Python是一种非BS编程语言。设计简单和易读性是它广受欢迎的两大原因。正如Python的宗旨:美丽胜于丑陋,显式胜于隐式。记住一些帮助提高编码设计的常用小诀窍是有用的。在必要时刻,这些小诀窍能够减少你上网查Stack Overflow的麻烦。而且它们

jacktangj 2020-10-14

[Typescript] Function Overloads

Function overload doesn‘t compile to Javascript, it is just a way to tell typescript about type information

ChaITSimpleLove 2020-10-06

JDBC连接MySQL

String sql = "select * from users where name=?String id = rs.getString;//1代表数据库中表的列数,id在第一列也可以!!!

Andrea0 2020-09-18

Golang面试make和new的用法

在golang中,make和new都分配内存,但是它们之间仍然存在一些差异。只有了解它们之间的差异,才能在适当的场合使用它们。所谓的初始化就是给一个类型赋一个初始值,例如,字符为空,整数为0,逻辑值为false。从Golang的官方文档的builtin中可

周游列国之仕子 2020-09-15

Redis migrate数据迁移工具的使用教程

在工作中可能会遇到单点Redis向Redis集群迁移数据的问题,但又不能老麻烦运维来做。为了方便研发自己迁移数据,我这里写了一个简单的Redis迁移工具,希望对有需要的人有用。该工具已经编译成了多平台命令,直接从Github下载二进制文件执行就好了。把代码

afanti 2020-09-16

关于 JavaScript 错误处理的最完整指南(下半部)

因为使用了 Promise ,所以可以使用 then 来接收返回的内容,或者用 catch 来捕获出现的错误。除了 then 和 catch , Promise 中还有 finally 方法,这类似于try/catch 中的 finally。如果我们失败了

88234852 2020-09-15

基于thinkphp5框架实现微信小程序支付 退款 订单查询 退款查询操作

$return['info'] = '此产品已售完';'out_trade_no' => $order_no_ssh,//$order_no, //订单号 商户订单号

YClimb 2020-09-15

Golang 如何解析和生成json

JSON是一种轻量级的数据交换语言,以文字为基础,具有自我描述性且易于让人阅读。尽管JSON是JavaScript的一个子集,但JSON是独立于语言的文本格式,并且采用了类似于C语言家族的一些习惯。JSON与XML最大的不同在于XML是一个完整的标记语言,

风雨断肠人 2020-09-04

PHP执行普通shell命令流程解析

echo "shell命令{$shell}成功执行";  注意,system()会将shell命令执行之后,立马显示结果,这一点会比较不方便,因为我们有时候不需要结果立马输出,甚至不需要输出,于是可以用到exec()

卖口粥湛蓝的天空 2020-09-15

php判断IP地址是否在多个IP段内

$int = $ips[0]*256*256*256+$ips[1]*256*256+$ips[2]*256+$ips[3]; //根据IP,a,b,c类进行计算。//将不同的IP段存储到数组中..format=js&ip=".$ip.&

stulen 2020-09-15

Python初学者必学的20个重要技巧

Python是世界上使用最广泛的编程语言之一,原因有很多:易理解、用途非常广泛、包含了大量的模块和库等等。其中,简洁和较高的可读性使Python在所有软件中非常突出。作为一名数据科学家,笔者每天都在使用Python,这是笔者工作的一个重要部分。在这个过程中

pythonxuexi 2020-09-06

源码分析C++的string的实现

我们平时使用C++开发过程中或多或少都会使用std::string,但您了解string具体是如何实现的吗,这里程序喵给大家从源码角度分析一下。string的常见的实现方式有几种?string类的内部结构是什么样子?string内部使用的内存是如何分配管理

abfdada 2020-08-26

想要在JS中把正则玩得飘逸,学会这几个函数的使用必不可少

在之前的一系列文章中,我们讲解了很多关于正则表达式的知识。那么作为一个前端工程师,如果想要把这些知识应用到我们平时的开发中去的话,就需要知道在JavaScript中,能够使用正则的函数有哪些?然后它们各自的功能是什么?有哪些需要注意的地方?只有掌握好了每一

梦的天空 2020-08-25
CLASSICHUO

CLASSICHUO

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号