解决方案是:
1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;
2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理后,要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。
3、在数据访问层,绝大多数采用存储过程访问数据,调用时以存储过程参数的方式访问,也会很好的防止注入式攻击。

/**////

/// 判断字符串中是否有SQL攻击代码

///

/// 传入用户提交数据

/// true-安全;false-有注入攻击现有;

public bool ProcessSqlStr(string inputString)

{

     string  SqlStr  =  "and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

       {

          if ((inputString != null) && (inputString != String.Empty))

           {

              string str_Regex = @"\b(" + SqlStr + @")\b";

              Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

              //string s = Regex.Match(inputString).Value;

              if (true == Regex.IsMatch(inputString))

                 return false;

          }

      }

      catch

       {

          return false;

     }

      return true;

  }

  /**////

  /// 处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行

  /// System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,

  /// 在Web.Config文件时里面添加一个 ErrorPage 即可

  ///

  ///

  ///

  public void ProcessRequest()

  {

      try

       {

          string getkeys = "";

          string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString();

          if (System.Web.HttpContext.Current.Request.QueryString != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

          if (System.Web.HttpContext.Current.Request.Form != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.Form.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

      }

      catch

       {

          // 错误处理: 处理用户提交信息!

      }

  }

  #endregion

  //转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)#region // 转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)

  /**////

  /// 提取字符固定长度

  ///

  ///

  ///

  ///

  public string CheckStringLength(string inputString, Int32 maxLength)

  {

      if ((inputString != null) && (inputString != String.Empty))

       {

          inputString = inputString.Trim();

          if (inputString.Length > maxLength)

              inputString = inputString.Substring(, maxLength);

      }

      return inputString;

  }
  
 /**////

 /// 将输入字符串中的sql敏感字,替换成"[敏感字]",要求输出时,替换回来

 ///

 ///

 ///

 public string MyEncodeInputString(string inputString)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((inputString != null) && (inputString != String.Empty))

          {

             string str_Regex = @"\b(" + SqlStr + @")\b";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             //string s = Regex.Match(inputString).Value;

             MatchCollection matches = Regex.Matches(inputString);

             for (int i = ; i < matches.Count; i++)

                 inputString = inputString.Replace(matches[i].Value, "[" + matches[i].Value + "]");

         }

     }

     catch

      {

         return "";

     }

     return inputString;

 }
 
 /**////

 /// 将已经替换成的"[敏感字]",转换回来为"敏感字"

 ///

 ///

 ///

 public string MyDecodeOutputString(string outputstring)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((outputstring != null) && (outputstring != String.Empty))

          {

             string str_Regex = @"\[\b(" + SqlStr + @")\b\]";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             MatchCollection matches = Regex.Matches(outputstring);

             for (int i = ; i < matches.Count; i++)

                 outputstring = outputstring.Replace(matches[i].Value, matches[i].Value.Substring(, matches[i].Value.Length - ));

         }

     }

     catch

      {

         return "";

     }

     return outputstring;

 }

 #endregion

防止sql注入式攻击 SQL注入学习——三层架构的更多相关文章

  1. SQL注入详细介绍及如何防范SQL注入式攻击

    一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面 ...

  2. 什么是SQL注入式攻击

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  3. 什么是SQL注入式攻击和如何防范?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  4. 浅谈C#.NET防止SQL注入式攻击

    1#region 防止sql注入式攻击(可用于UI层控制)  2  3///   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// true-安全:f ...

  5. 什么是SQL注入式攻击?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  6. 如何防范SQL注入式攻击

    一.什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者 ...

  7. 如何防止SQL注入式攻击

    一.什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或 ...

  8. SQL注入式攻击

    百度百科:http://baike.baidu.com/link?url=GQbJ2amTzTahZA7XJSBDLYYkN3waQ9JCoJ0l--tCWlvKQibe0YaH4hpmgEnLyn0 ...

  9. ADO.NET复习总结(3)--参数化SQL语句--防止sql注入式攻击

    1.SQL 注入 2.使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter Command的属性parameters是一个参数集合. 3.举例<查询 ...

随机推荐

  1. HDU-1686 Oulipo

    学习:重点理解这句话的意思: next[j]会告诉我们从哪里开始匹配     模板题. Oulipo Time Limit: 3000/1000 MS (Java/Others)    Memory ...

  2. 修改Oracle数据库用户的密码

    修改数据库用户system密码的两个方法: 方法一: alter user system identified by password; 方法二: password system;

  3. HDOJ/HDU 2140 Michael Scofield's letter(字符转换~)

    Problem Description I believe many people are the fans of prison break. How clever Michael is!! In o ...

  4. centos 系统程序包安装记录

    -添加sudoer su - vi /etc/sudoers 在root ALL=(ALL) ALL 下添加: pete ALL=(ALL) ALL -安装拼音: sudo yum install & ...

  5. 转载:Java多线程中join方法的理解

    转载自:http://uule.iteye.com/blog/1101994 thread.Join把指定的线程加入到当前线程,可以将两个交替执行的线程合并为顺序执行的线程.比如在线程B中调用了线程A ...

  6. C语言工具的简单辨析

  7. Result

    1.常用四种类型: a)          dispatcher(默认) 服务器跳转(普通转发),就是forward到一个JSP或者HTML或者其他结果页面,不能是Action 视图请求地址是     ...

  8. 基于粒子群算法求解求解TSP问题(JAVA)

    一.TSP问题 TSP问题(Travelling Salesman Problem)即旅行商问题,又译为旅行推销员问题.货郎担问题,是数学领域中著名问题之一.假设有一个旅行商人要拜访n个城市,他必须选 ...

  9. 2013腾讯编程马拉松初赛第二场(3月22日) 小Q系列故事——为什么时光不能倒流 ---好水!!

    我以为我会是最坚强的那一个 我还是高估了自己 我以为你会是最无情的那一个 还是我贬低了自己 就算不能够在一起 我还是为你担心 就算你可能听不清 也代表我的心意 那北极星的眼泪 闪过你曾经的眼角迷离 那 ...

  10. mysql调优 基础

    MySQL调优可以从几个方面来做: 1. 架构层:做从库,实现读写分离: 2.系统层次:增加内存:给磁盘做raid0或者raid5以增加磁盘的读写速度:可以重新挂载磁盘,并加上noatime参数,这样 ...