c#如何防止sql注入?-C#.Net教程-PHP中文网

首页

后端开发

C#.Net教程

c#如何防止sql注入?

青灯夜游

May 10, 2019 pm 05:24 PM

c#防止sql注入

对于网站的安全性，是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞，那势必将造成很大的损失。为了提高网站的安全性，首先网站要防注入。

c#如何防止sql注入?

下面我们给大家介绍C#防止sql注入的几种方法：

方法一：

在Web.config文件下面增加一个如下标签：

< appSettings>
　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
< /appSettings>

其中key是 403c6cc3e9e4261fe0da1b089a4e2ef5后面的值为”OrderId-int32”等，其中”-“前面表示参数的名称比如：OrderId,后面的int32表示数据类型。

方法二：

在Global.asax中增加下面一段：

protected void Application_BeginRequest（Object sender, EventArgs e）{
　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（&#39;,&#39;）；
　　for（int i= 0 ;i < safeParameters.Length; i++）{
　　String parameterName = safeParameters[i].Split（&#39;-&#39;）[0];
　　String parameterType = safeParameters[i].Split（&#39;-&#39;）[1];
　　isValidParameter（parameterName, parameterType）；
　　}
　　}
　　public void isValidParameter（string parameterName, string parameterType）{
　　string parameterValue = Request.QueryString[parameterName];
　　if（parameterValue == null） return;
　　if（parameterType.Equals（"int32"））{
　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"USzip"））{
　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"email"））{
　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　}

方法三：

使用字符串过滤类

　/**//// < summary>
　　/// 处理用户提交的请求
　　/// < /summary>
　　public static void StartProcessRequest（）
　　{
　　// System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;dddd&#39;）；< /script>"）；
　　try
　　{
　　string getkeys = "";　　//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString（）；
　　if （System.Web.HttpContext.Current.Request.QueryString != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.QueryString[getkeys],0））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　if （System.Web.HttpContext.Current.Request.Form != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.Form[getkeys],1））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　}
　　catch
　　{
　　// 错误处理： 处理用户提交信息！
　　}
　　}
　　/**//// < summary>
　　/// 分析用户请求是否正常
　　/// < /summary>
　　/// < param name="Str">传入用户提交数据< /param>
　　/// < returns>返回是否含有SQL注入式攻击代码< /returns>
　　private static bool ProcessSqlStr（string Str,int type）
　　{
　　string SqlStr;　　if（type == 1）
　　SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";　　else
　　SqlStr = "&#39;|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";　　bool ReturnValue = true;　　try
　　{
　　if （Str != ""）
　　{
　　string[] anySqlStr = SqlStr.Split（&#39;|&#39;）；
　　foreach （string ss in anySqlStr）
　　{
　　if （Str.IndexOf（ss）>=0）
　　{
　　ReturnValue = false;　　}
　　}
　　}
　　}
　　catch
　　{
　　ReturnValue = false;　　}
　　return ReturnValue;　　}
　　#endregion　　}
　　}

相关视频教程推荐：《C#教程》

以上是c#如何防止sql注入?的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

.NET中的C＃代码：探索编程过程Apr 12, 2025 am 12:02 AM

C#在.NET中的编程过程包括以下步骤：1)编写C#代码，2)编译为中间语言（IL），3)由.NET运行时（CLR）执行。C#在.NET中的优势在于其现代化语法、强大的类型系统和与.NET框架的紧密集成，适用于从桌面应用到Web服务的各种开发场景。

C＃.NET：探索核心概念和编程基础知识Apr 10, 2025 am 09:32 AM

C#是一种现代、面向对象的编程语言，由微软开发并作为.NET框架的一部分。1.C#支持面向对象编程（OOP），包括封装、继承和多态。2.C#中的异步编程通过async和await关键字实现，提高应用的响应性。3.使用LINQ可以简洁地处理数据集合。4.常见错误包括空引用异常和索引超出范围异常，调试技巧包括使用调试器和异常处理。5.性能优化包括使用StringBuilder和避免不必要的装箱和拆箱。

测试C＃.NET应用程序：单元，集成和端到端测试Apr 09, 2025 am 12:04 AM

C#.NET应用的测试策略包括单元测试、集成测试和端到端测试。1.单元测试确保代码的最小单元独立工作，使用MSTest、NUnit或xUnit框架。2.集成测试验证多个单元组合的功能，常用模拟数据和外部服务。3.端到端测试模拟用户完整操作流程，通常使用Selenium进行自动化测试。

高级C＃.NET教程：ACE您的下一次高级开发人员面试Apr 08, 2025 am 12:06 AM

C#高级开发者面试需要掌握异步编程、LINQ、.NET框架内部工作原理等核心知识。1.异步编程通过async和await简化操作，提升应用响应性。2.LINQ以SQL风格操作数据，需注意性能。3..NET框架的CLR管理内存，垃圾回收需谨慎使用。

C＃.NET面试问题和答案：提高您的专业知识Apr 07, 2025 am 12:01 AM

C#.NET面试问题和答案包括基础知识、核心概念和高级用法。1)基础知识：C#是微软开发的面向对象语言，主要用于.NET框架。2)核心概念：委托和事件允许动态绑定方法，LINQ提供强大查询功能。3)高级用法：异步编程提高响应性，表达式树用于动态代码构建。

使用C＃.NET建筑微服务：建筑师实用指南Apr 06, 2025 am 12:08 AM

C#.NET是构建微服务的热门选择，因为其生态系统强大且支持丰富。1)使用ASP.NETCore创建RESTfulAPI，处理订单创建和查询。2)利用gRPC实现微服务间的高效通信，定义和实现订单服务。3)通过Docker容器化微服务，简化部署和管理。

C＃.NET安全性最佳实践：防止常见漏洞Apr 05, 2025 am 12:01 AM

C#和.NET的安全最佳实践包括输入验证、输出编码、异常处理、以及身份验证和授权。1)使用正则表达式或内置方法验证输入，防止恶意数据进入系统。2)输出编码防止XSS攻击，使用HttpUtility.HtmlEncode方法。3)异常处理避免信息泄露，记录错误但不返回详细信息给用户。4)使用ASP.NETIdentity和Claims-based授权保护应用免受未授权访问。