脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程ASP.NET实用技巧 → Asp.net 防注入

Aspx/Asp.net 防注入程序 V1.0

 更新时间:2009年10月03日 01:51:33   作者:  
asp下有人写了防注入的程序,这次看到了一个asp.net的特提供给大家参考。
虽然说ASP.NET属于安全性高的脚本语言,但是也经常看到ASP.NET网站由于过滤不严造成注射.由于ASP.NET基本上配合MMSQL数据库架设 如果权限过大的话很容易被攻击. 再者在网络上找不到好的ASP.NET防注射脚本,所以就自己写了个. 在这里共享出来旨在让程序员免除SQL注入的困扰.
我写了两个版本,VB.NET和C#版本方便不同程序间使用.
描述:
1. XP + IIS5.1 + Access + MSSQL2000 下测试通过。
2. 由于考虑到ASPX大多数和MSSQL数据库配合使用,在此增加了MSSQL关键字。
3. 放到数据库连接代码处即可,和ASP用法类似。
复制代码 代码如下:

public void JK1986_CheckSql()
{
string jk1986_sql = "exec夢select夢drop夢alter夢exists夢union夢and夢or夢xor夢order夢mid夢asc夢execute夢xp_cmdshell夢insert夢update夢delete夢join夢declare夢char夢sp_oacreate夢wscript.shell夢xp_regwrite夢'夢;夢--夢%";
string[] jk_sql = jk1986_sql.Split('夢');
foreach (string jk in jk_sql)
{
// -----------------------防 Post 注入-----------------------
if (Page.Request.Form != null)
{
for (int k = 0; k < Page.Request.Form.Count; k++)
{
string getsqlkey = Page.Request.Form.Keys[k];
string getip;
if (Page.Request.Form[getsqlkey].ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式:P O S T " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.Form[getsqlkey].ToLower() + "<br>");
Response.End();
}
}
}
// -----------------------防 GET 注入-----------------------
if (Page.Request.QueryString != null)
{
for (int k = 0; k < Page.Request.QueryString.Count; k++)
{
string getsqlkey = Page.Request.QueryString.Keys[k];
string getip;
if (Page.Request.QueryString[getsqlkey].ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长安全网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式:G E T " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.QueryString[getsqlkey].ToLower() + "<br>");
Response.End();
}
}
}
// -----------------------防 Cookies 注入-----------------------
if (Page.Request.Cookies != null)
{
for (int k = 0; k < Page.Request.Cookies.Count; k++)
{
string getsqlkey = Page.Request.Cookies.Keys[k];
string getip;
if (Page.Request.Cookies[getsqlkey].Value.ToLower().Contains(jk) == true)
{
Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )站长安全网提示您,请勿提交非法字符!↓\\n\\nBloghttp://www.safe5.com [url=file://\\n\\nBy]\\n\\nBy[/url]:Jack');</" + "script>");
Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");
if (Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null )
{
getip = this.Page.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
}
else
{
getip = Page.Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write("操 作 I P :" + getip + "<br>");
Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");
Response.Write("操 作 页 面:" + Page.Request.ServerVariables["URL"] + "<br>");
Response.Write("提 交 方 式: Cookies " + "<br>");
Response.Write("提 交 参 数:" + jk + "<br>");
Response.Write("提 交 数 据:" + Page.Request.Cookies[getsqlkey].Value.ToLower() + "<br>");
Response.End();
}
}
}
}
}
您可能感兴趣的文章:

相关文章

  • MVC5 + EF6 + Bootstrap3 (11) 实现排序、搜索、分页

    MVC5 + EF6 + Bootstrap3 (11) 实现排序、搜索、分页

    本篇文章主要介绍了MVC5 + EF6 + Bootstrap3 (11) 实现排序、搜索、分页,小编觉得挺不错的,现在分享给大家,也给大家做个参考
    2016-12-12
  • WeakReference(弱引用)让GC需要时回收对象

    WeakReference(弱引用)让GC需要时回收对象

    我们平常用的都是对象的强引用,如果有强引用存在,GC是不会回收对象的,我们能不能同时保持对对象的引用,而又可以让GC需要的时候回收这个对象呢?本文将为您详细解答,需要了解的朋友可以参考下
    2012-12-12
  • 扩展方法ToJSON() and ParseJSON()

    扩展方法ToJSON() and ParseJSON()

    AJAX编程经常需要Object<=>JSON之间转换,写了二个扩展方法: public static string ToJSON(this object obj) public static T ParseJSON<T>(this string str)
    2008-03-03
  • ASP.NET中IsPostBack用法详解

    ASP.NET中IsPostBack用法详解

    这篇文章主要介绍了ASP.NET中IsPostBack用法,有助于读者进一步理解IsPostBack用法并加以灵活应用,需要的朋友可以参考下
    2014-07-07
  • C# 定义常量 两种实现方法

    C# 定义常量 两种实现方法

    在C#中定义常量的方式有两种,一种叫做静态常量(Compile-time constant),另一种叫做动态常量(Runtime constant)
    2012-11-11
  • Discuz!NT数据库读写分离方案详解

    Discuz!NT数据库读写分离方案详解

    Discuz!NT这个产品在其企业版中提供了对‘读写分离’机制的支持,使对CPU及内存消耗严重的操作(CUD)被 分离到一台或几台性能很高的机器上,而将频繁读取的操作(select)放到几台配置较低的机器上,然后通过‘事务 发布订阅机制’,实现了在多个sqlserver数据库之间快速高效同步数据,从而达到了将‘读写请求’按实际负载 情况进行均衡分布的效果。
    2010-06-06
  • ajaxToolkit:CalendarExtender演示与实现代码

    ajaxToolkit:CalendarExtender演示与实现代码

    Ajax的CalenderExtender的日期选择实现介绍,感兴趣的你可以了解下,就当是巩固知识,希望本文对你有所帮助
    2013-01-01
  • ASP.NET动态添加控件一例

    ASP.NET动态添加控件一例

    本例需求来自CSDN论坛,有人问:3个DropDownList和1个按钮,每次单击按钮动态创建3个Label控件并从DropDownList获得值,然后添加到页面
    2012-01-01
  • ASP.NET将文件写到另一服务器(图文教程)及注意事项

    ASP.NET将文件写到另一服务器(图文教程)及注意事项

    有时我们需要将来自于客户端的文件上传到WEB服务器端,并在服务端将文件存储到第三方文件服务器中存储,既然有需求,那就有实现了,感兴趣的你可以了解此文,或许对你学习asp.net 起到很好的作用哦
    2013-01-01
  • .net core 6.0 通过依赖注入注册和使用上下文服务的教程

    .net core 6.0 通过依赖注入注册和使用上下文服务的教程

    在.NET Core 6.0 中,获取上下文的方式取决于您使用的技术栈和具体的应用程序类型,这篇文章主要介绍了.net core 6.0 通过依赖注入注册和使用上下文服务的教程,需要的朋友可以参考下
    2023-12-12

最新评论