Ⅰ 求助C# .NET防SQL注入式攻擊方法
一種方法是,增加全局配置文件Global.asax,在Application_BeginRequest中增加判斷代碼,比如我一般添加:
if (Request.QueryString.ToString().Contains("'") || Request.QueryString.ToString().Contains(";") )
{
Response.End();
}
第二種方法是,所以查詢語句,用到變數的時候,全部使用參數。
第一種方法最簡單。
Ⅱ 求助C#.NET防SQL注入式攻擊方法
不要用拼接參數方式,使用parms賦值方式。
如:select * from table where username=:username
cmd.AddInParameter(":username", OracleType.VarChar, 50, "admin");
Ⅲ .NET中如何防範SQL注入式攻擊
所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如: ⑴ 某個ASP.NET Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼。 ⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子: System.Text.StringBuilder query = new System.Text.StringBuilder( "SELECT * from Users WHERE login = '") .Append(txtLogin.Text).Append("' AND password='") . Append(txtPassword.Text).Append("'"); ⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內容。 ⑷ 用戶輸入的內容提交給伺服器之後,伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。 ⑸ 伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。 ⑹ 由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。 如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。 系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表。 ⑴ 對於動態構造SQL查詢的場合,可以使用下面的技術: 第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。 第二:刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。 第三:對於用來執行查詢的資料庫帳戶,限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作,因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。 ⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外,它還使得資料庫許可權可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。 ⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元,那麼不要認可表單中輸入的10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。 ⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然後將非法內容通過修改後的表單提交給伺服器。因此,要保證驗證操作確實已經執行,唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。 ⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然後再將它與資料庫中保存的數據比較,這相當於對用戶輸入的數據進行了「消毒」處理,用戶輸入的數據不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個,非常適合於對輸入數據進行消毒處理。 ⑹ 檢查提取數據的查詢所返回的記錄數量。
Ⅳ asp.net 怎麼防止SQL注入攻擊啊
http://wenku..com/view/8c13e02558fb770bf78a555b.html,給一個連接地址,先看看哈,可以類似的收集一些這方面的資料
Ⅳ 請問.net防止SQL注入的方法
用sqlperemater
Ⅵ 在ASP.Net怎麼防止SQL注入
其實sql防注入很簡單的,這個都不在程序員的討論范圍內了。
最簡單,有效的方法:
比如用戶輸入的內容為String1
我們要做的是replace(String1,'''',''''''),目的就是將一個分號,替換為兩個分號。當放入sql語句中時,就會把用戶輸入的內容原封不動的作為sql中的字元串傳入資料庫。
Ⅶ asp.net防sql注入
字元:
',select,union,insert,update,join等
資料庫操作時採用參數方式,能增加安全。
Ⅷ 求教高手------Asp。Net中如何防止SQL注入,即如何過濾關鍵字
最簡單的方法
你用ORM來做
就不存在SQL語句了
比如.net
3.5以後的linq
就是不錯的辦法
Ⅸ .net web網站如何防止sql注入
1、操作資料庫時,最好使用參數化
2、實在要拼接sql的時候,對字元串類型,只要把裡面的單引號替換成2個單引號;
其它之類,比如數值類型,在拼接之前,判斷是否數值;比如DateTime,拼接之前判斷是否日期
就不會有問題了
拼接sql有時是不可避免的,所以注意第2點(有時也會在存儲過程里拼接動態sql
Ⅹ NET裡面怎樣防止SQL注入
防止sql注入的方式是獲取數據的時候盡可能使用參數化的查詢或者是使用存儲過程或者函數等
比如:select * from student where stuid=@stuid
參數化的查詢需要後端的各語言如jsp.aps.net等的支持。
存儲過程或者函數在資料庫端可以解決部分注入功能。