C#.NET防止SQL注入式攻击

小渣渣

1. #region  防止sql注入式攻击(可用于UI层控制）
   
2.   
   
3.    ///
   
4.    ///  判断字符串中是否有SQL攻击代码
   
5.    ///
   
6.    ///  传入用户提交数据
   
7.    ///  true-安全；false-有注入攻击现有；
   
8.    public   bool  ProcessSqlStr( string  inputString)
   
9.      {
   
10.       string  SqlStr  =   @"
    
11. and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net
    
12. +localgroup +administrators " ;
    
13.         try
    
14.           {
    
15.             if  ((inputString  !=   null )  &&  (inputString  !=  String.Empty))
    
16.               {
    
17.                 string  str_Regex  =   @" \b( "   +  SqlStr  +   @" )\b " ;
    
18.   
    
19.                Regex Regex  =   new  Regex(str_Regex, RegexOptions.IgnoreCase);
    
20.                 // string s = Regex.Match(inputString).Value;
    
21.                 if  ( true   ==  Regex.IsMatch(inputString))
    
22.                     return   false ;
    
23.   
    
24.           }
    
25.       }
    
26.        catch
    
27.          {
    
28.            return   false ;
    
29.       }
    
30.        return   true ;
    
31.   }
    
32. 
    
33. 
    
34.    ///
    
35.   ///  处理用户提交的请求，校验sql注入式攻击,在页面装置时候运行
    
36.   ///  System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,
    
37.   ///  在Web.Config文件时里面添加一个 ErrorPage 即可
    
38.   ///
    
39.   ///     
    
40.   ///  
    
41.   public   void  ProcessRequest()
    
42.     {
    
43.        try
    
44.          {
    
45.            string  getkeys  =   "" ;
    
46.            string  sqlErrorPage  =  System.Configuration.ConfigurationSettings.AppSettings[ " ErrorPage " ].ToString();
    
47.           if  (System.Web.HttpContext.Current.Request.QueryString  !=   null )
    
48.             {
    
49. 
    
50.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.QueryString.Count; i ++ )
    
51.                 {
    
52.                   getkeys  =  System.Web.HttpContext.Current.Request.QueryString.Keys;
    
53.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
    
54.                       {
    
55.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑！ " );
    
56.                      System.Web.HttpContext.Current.Response.End();
    
57.                  }
    
58.              }
    
59.          }
    
60.           if  (System.Web.HttpContext.Current.Request.Form  !=   null )
    
61.             {
    
62.                for  ( int  i  =   0 ; i  <  System.Web.HttpContext.Current.Request.Form.Count; i ++ )
    
63.                   {
    
64.                    getkeys  =  System.Web.HttpContext.Current.Request.Form.Keys;
    
65.                     if  ( ! ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
    
66.                       {
    
67.                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage  +   " ?errmsg= "   +  getkeys  +   " 有SQL攻击嫌疑！ " );
    
68.                        System.Web.HttpContext.Current.Response.End();
    
69.                    }
    
70.                }
    
71.            }
    
72.        }
    
73.         catch
    
74.           {
    
75.             //  错误处理: 处理用户提交信息!
    
76.        }
    
77.    }
    
78.    #endregion

复制代码

我们的解决方式是：
1、首先在UI录入时，要控制数据的类型和长度、防止SQL注入式攻击，系统提供检测注入式攻击的函数，一旦检测出注入式攻击，该数据即不能提交；
2、业务逻辑层控制，通过在方法内部将SQL关键字用一定的方法屏蔽掉，然后检查数据长度，保证提交SQL时，不会有SQL数据库注入式攻击代码；但是这样处理后，要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。
3、在数据访问层，绝大多数采用存储过程访问数据，调用时以存储过程参数的方式访问，也会很好的防止注入式攻击。