Maison > Article > développement back-end > Comment empêcher l’injection SQL en C# ?

Comment empêcher l’injection SQL en C# ?

青灯夜游original: 2019-05-10 17:24:487289parcourir

La sécurité des sites Web est la plus grande préoccupation de tout développeur et opérateur de sites Web. Une fois qu’il y aura une vulnérabilité dans le site Web, cela entraînera inévitablement de lourdes pertes. Afin d’améliorer la sécurité du site Internet, celui-ci doit au préalable être protégé des injections.

Nous vous présentons ici plusieurs façons d'empêcher l'injection SQL en C# :

Première méthode :

Ajoutez la balise suivante sous le fichier Web.config :

< appSettings>
　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
< /appSettings>

La clé est b48794421fc17dcf190176f5235324a1 et la valeur après elle est "OrderId-int32", etc., où "-" devant indique les paramètres. Le nom est tel que : OrderId, et le int32 derrière indique le type de données.

Méthode 2 :

Ajoutez le paragraphe suivant dans Global.asax :

protected void Application_BeginRequest（Object sender, EventArgs e）{
　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（&#39;,&#39;）；
　　for（int i= 0 ;i < safeParameters.Length; i++）{
　　String parameterName = safeParameters[i].Split（&#39;-&#39;）[0];
　　String parameterType = safeParameters[i].Split（&#39;-&#39;）[1];
　　isValidParameter（parameterName, parameterType）；
　　}
　　}
　　public void isValidParameter（string parameterName, string parameterType）{
　　string parameterValue = Request.QueryString[parameterName];
　　if（parameterValue == null） return;
　　if（parameterType.Equals（"int32"））{
　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"USzip"））{
　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"email"））{
　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　}

Méthode 3 :

Utilisation de la classe de filtrage de chaînes

　/**//// < summary>
　　/// 处理用户提交的请求
　　/// < /summary>
　　public static void StartProcessRequest（）
　　{
　　// System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;dddd&#39;）；< /script>"）；
　　try
　　{
　　string getkeys = "";　　//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString（）；
　　if （System.Web.HttpContext.Current.Request.QueryString != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.QueryString[getkeys],0））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　if （System.Web.HttpContext.Current.Request.Form != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.Form[getkeys],1））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　}
　　catch
　　{
　　// 错误处理： 处理用户提交信息！
　　}
　　}
　　/**//// < summary>
　　/// 分析用户请求是否正常
　　/// < /summary>
　　/// < param name="Str">传入用户提交数据< /param>
　　/// < returns>返回是否含有SQL注入式攻击代码< /returns>
　　private static bool ProcessSqlStr（string Str,int type）
　　{
　　string SqlStr;　　if（type == 1）
　　SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";　　else
　　SqlStr = "&#39;|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";　　bool ReturnValue = true;　　try
　　{
　　if （Str != ""）
　　{
　　string[] anySqlStr = SqlStr.Split（&#39;|&#39;）；
　　foreach （string ss in anySqlStr）
　　{
　　if （Str.IndexOf（ss）>=0）
　　{
　　ReturnValue = false;　　}
　　}
　　}
　　}
　　catch
　　{
　　ReturnValue = false;　　}
　　return ReturnValue;　　}
　　#endregion　　}
　　}

Tutoriels vidéo associés recommandés : "Tutoriel C#"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration：

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article précédent：Qu'est-ce que la classe sqlhelper ?Article suivant：Qu'est-ce que la classe sqlhelper ?

Articles Liés

Voir plus