解决方案是:
1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;
2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理后,要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。
3、在数据访问层,绝大多数采用存储过程访问数据,调用时以存储过程参数的方式访问,也会很好的防止注入式攻击。

/**////

/// 判断字符串中是否有SQL攻击代码

///

/// 传入用户提交数据

/// true-安全;false-有注入攻击现有;

public bool ProcessSqlStr(string inputString)

{

     string  SqlStr  =  "and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

       {

          if ((inputString != null) && (inputString != String.Empty))

           {

              string str_Regex = @"\b(" + SqlStr + @")\b";

              Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

              //string s = Regex.Match(inputString).Value;

              if (true == Regex.IsMatch(inputString))

                 return false;

          }

      }

      catch

       {

          return false;

     }

      return true;

  }

  /**////

  /// 处理用户提交的请求,校验sql注入式攻击,在页面装置时候运行

  /// System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString(); 为用户自定义错误页面提示地址,

  /// 在Web.Config文件时里面添加一个 ErrorPage 即可

  ///

  ///

  ///

  public void ProcessRequest()

  {

      try

       {

          string getkeys = "";

          string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["ErrorPage"].ToString();

          if (System.Web.HttpContext.Current.Request.QueryString != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

          if (System.Web.HttpContext.Current.Request.Form != null)

           {

              for (int i = ; i < System.Web.HttpContext.Current.Request.Form.Count; i++)

               {

                  getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

                  if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))

                   {

                      System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage + "?errmsg=" + getkeys + "有SQL攻击嫌疑!");

                      System.Web.HttpContext.Current.Response.End();

                  }

              }

          }

      }

      catch

       {

          // 错误处理: 处理用户提交信息!

      }

  }

  #endregion

  //转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)#region // 转换sql代码(也防止sql注入式攻击,可以用于业务逻辑层,但要求UI层输入数据时候进行解码)

  /**////

  /// 提取字符固定长度

  ///

  ///

  ///

  ///

  public string CheckStringLength(string inputString, Int32 maxLength)

  {

      if ((inputString != null) && (inputString != String.Empty))

       {

          inputString = inputString.Trim();

          if (inputString.Length > maxLength)

              inputString = inputString.Substring(, maxLength);

      }

      return inputString;

  }
  
 /**////

 /// 将输入字符串中的sql敏感字,替换成"[敏感字]",要求输出时,替换回来

 ///

 ///

 ///

 public string MyEncodeInputString(string inputString)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((inputString != null) && (inputString != String.Empty))

          {

             string str_Regex = @"\b(" + SqlStr + @")\b";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             //string s = Regex.Match(inputString).Value;

             MatchCollection matches = Regex.Matches(inputString);

             for (int i = ; i < matches.Count; i++)

                 inputString = inputString.Replace(matches[i].Value, "[" + matches[i].Value + "]");

         }

     }

     catch

      {

         return "";

     }

     return inputString;

 }
 
 /**////

 /// 将已经替换成的"[敏感字]",转换回来为"敏感字"

 ///

 ///

 ///

 public string MyDecodeOutputString(string outputstring)

 {

     //要替换的敏感字

     string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";

     try

      {

         if ((outputstring != null) && (outputstring != String.Empty))

          {

             string str_Regex = @"\[\b(" + SqlStr + @")\b\]";

             Regex Regex = new Regex(str_Regex, RegexOptions.IgnoreCase);

             MatchCollection matches = Regex.Matches(outputstring);

             for (int i = ; i < matches.Count; i++)

                 outputstring = outputstring.Replace(matches[i].Value, matches[i].Value.Substring(, matches[i].Value.Length - ));

         }

     }

     catch

      {

         return "";

     }

     return outputstring;

 }

 #endregion

防止sql注入式攻击 SQL注入学习——三层架构的更多相关文章

  1. SQL注入详细介绍及如何防范SQL注入式攻击

    一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面 ...

  2. 什么是SQL注入式攻击

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  3. 什么是SQL注入式攻击和如何防范?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  4. 浅谈C#.NET防止SQL注入式攻击

    1#region 防止sql注入式攻击(可用于UI层控制)  2  3///   4/// 判断字符串中是否有SQL攻击代码  5///   6/// 传入用户提交数据  7/// true-安全:f ...

  5. 什么是SQL注入式攻击?

    什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响 ...

  6. 如何防范SQL注入式攻击

    一.什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者 ...

  7. 如何防止SQL注入式攻击

    一.什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或 ...

  8. SQL注入式攻击

    百度百科:http://baike.baidu.com/link?url=GQbJ2amTzTahZA7XJSBDLYYkN3waQ9JCoJ0l--tCWlvKQibe0YaH4hpmgEnLyn0 ...

  9. ADO.NET复习总结(3)--参数化SQL语句--防止sql注入式攻击

    1.SQL 注入 2.使用参数化的方式,可以有效防止SQL注入,使用类parameter的实现类SqlParameter Command的属性parameters是一个参数集合. 3.举例<查询 ...

随机推荐

  1. Android项目开发全程(四)-- 将网络返回的json字符串轻松转换成listview列表

    前面几篇博文介绍了从项目搭建到获取网络字符串,对一个项目的前期整体工作进行了详细的介绍,本篇接着上篇介绍一下怎么样优雅将网络返回的json字符串轻松转换成listview列表. 先上图,看一下效果. ...

  2. 原生Javascript插件开发实践

    前言 之前公司设计的网站比较混乱,很多地方不统一,其中一个就是弹出层,导致这个原因是因为,公司的UI换了好几个人,而他们每个人做出来的都不太一样.最近公司开始整顿这个问题,对于统一的这种东西当然是做成 ...

  3. jetty之嵌入式运行jetty

    在文章什么是jetty中,提到jetty容器真正出名的地方是可以作为一个嵌入到java代码的servlet容器,即可以在java代码中实例化servlet对象并操作该对象.下面我们就先来学习 下如何把 ...

  4. MISCONF Redis is configured to save RDB snapshots

    今天客户突然反馈用我们的api出现了下面的这个错误 MISCONF Redis is configured to save RDB snapshots, but is currently not ab ...

  5. myeclipse building workspace如何禁止及提高myeclipse速度

    大家一定对building workspace时那缓慢的速度给困扰到了吧~ 其实只要把project选项里的 building automatically前的勾去掉,就可以快很多了.. 另外大家一定对 ...

  6. Lamda和Linq语法对比详细

    本人转载:http://www.cnblogs.com/knowledgesea/p/3897665.html 闲言碎语 近期比较忙,但还是想写点什么,就分享一些基础的知识给大家看吧,希望能帮助一些l ...

  7. 史上比较用心的纯代码实现 AutoLayout

    入职有两三个月了吧,都是使用 Objective-C 纯代码(虽然有时候偷偷参杂一些 Swift 开源库)来编写公司APP,写布局的时候几乎都是要么在初始化的时候用 initWithFrame,要么就 ...

  8. Data Types in the Kernel &lt;LDD3 学习笔记&gt;

    Data Types in the Kernel Use of Standard C Types /* * datasize.c -- print the size of common data it ...

  9. c++使用mysql的api连接相关问题

    记录一下自己使用中的相关问题,方便有相同问题的同学解决. 关于在VS中的各种配置.看这里.只是须要注意一下,我如今用的mysql版本号是5.6的,已经没有[MySQL Server \lib\opt] ...

  10. Java基础知识强化之集合框架笔记48:产生10个1~20之间的随机数(要求:随机数不能重复) 简洁版

    1. 编写一个程序,获取10个1至20的随机数,要求随机数不能重复. 分析:  A: 创建随机数对象  B: 创建一个HashSet集合  C: 判断集合的长度是不是小于10    是:就创建一个随机 ...