asp,jsp,asp.net防注入代码

OStack程序员社区-中国程序员成长平台 › 门户 › 编程› ASP.NET›ASP.NET编程经验

原作者: [db:作者] 来自: [db:来源] 收藏邀请

NET防SQL注入方法

2007年04月04日 11:16

那么，如果我的用户名是：1 or 1=1

那么，你的查询语句将会变成：

select * from admin where username=1 or 1=1 and password="&pwd&""

这样你的查询语句就通过了，从而就可以进入你的管理界面。

所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤。

需要过滤的特殊字符及字符串有：

net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid

:
"
insert
delete from
drop table
update
truncate
from
%

下面关于解决注入式攻击的防范代码，供大家学习参考！

js版的防范SQL注入式攻击代码：

asp版的防范SQL注入式攻击代码～：

<%
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)
If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"") or Instr(strTemp,"%20or%20") then
Response.Write "<script language=javascript>"
Response.Write "alert(非法地址！！);"
Response.Write "location.href=error.asp;"
Response.Write "<script>"
End If
%>

C# 检查字符串,防SQL注入攻击
这个例子里暂定为=号和号

bool CheckParams(params object[] args)
{
     string[] Lawlesses={"=",""};
     if(Lawlesses==null||Lawlesses.Length<=0)return true;
     //构造正则表达式,例:Lawlesses是=号和号,则正则表达式为 .*[=}].* (正则表达式相关内容请见MSDN)
     //另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;

     string str_Regex=".*[";
     for(int i=0;i< Lawlesses.Length-1;i++)
         str_Regex+=Lawlesses[i]+"|";
     str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
     //
     foreach(object arg in args)
     {
         if(arg is string)//如果是字符串,直接检查
         {
             if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
             return false;
         }
         else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
         {
             foreach(object obj in (ICollection)arg)
             {
                 if(obj is string)
                 {
                     if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
                     return false;
                 }
             }
         }
     }
     return true;

}

以下是较为简单的防范方法，这些都是大家比较熟悉的方法，我就是转帖过来。希望能给你一点帮助~

主要是针对数字型的变量传递：

id = Request.QueryString("id")

If Not(isNumeric(id)) Then

Response.Write "非法地址~"

Response.End

End If

以下是正常显示代码~

如何再编码的过程中防范SQL注入式攻击

1、什么是SQL注入式攻击我们知道Microsoft的SQL Server数据库是支持一次数据库查询执行多条SQL语句的，比如说再查询管理器里面，我们可以输入一条SQL语句

select * from table1 select * from table2

假如所选择的数据库中确实存在table1和table2的话，那么这个SQL语句就能够执行成功，并且能够返回正确的结果。同时，我们知道现在很多系统或者发布在Internet上的网站，管理员为了方便，一般都是直接采用sa的身份来连接数据库的，那么SQL注入式攻击主要就是抓住了系统在这么两个方面的弱点，攻击者把SQL语句插入到web表单输入，或者页面的查询字符串中，从而欺骗服务器执行恶意的SQL命令，以达到攻击的目的。

2. 注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例，结合代码详细解释一下SQL注入式攻击，与及他的防范措施。对于一个简单的用户登陆可能的代码如下：

try
{
　string strUserName = this.txtUserName.Text;
　string strPwd = this.txtPwd.Text;
　string strSql = "select * from userinfo where UserName="" + strUserName + "" and Password="" + strPwd + """;
　SqlConnection objDbConn = new SqlConnection("数据库连接字符串");
　SqlDataAdapter objAdapter = new SqlDataAdapter(strSql,objDbConn);
　DataSet objDataSet = null;
　objAdapter.Fill(objDataSet);//TODO 对获取的数据进行判断。
}
catch (System.Exception e)
{
　this.lblMsg.Text = e.Message;
　this.lblMsg.Visible = true;
}

　　在上面这段代码中，如果用户的输入是正常的用户名和密码的话，那么执行都会比较正常，但是，假如输入用户名的时候，输入的是“johny’--”的话，在 SQLServer里面执行的语句将会是“select * from userinfo where UserName=’johny’--‘ and Password=’密码’”，只要数据库中存在johny这个用户的话，那么不管密码是什么，语句都能够执行成功，并且能够顺利通过登陆。还有更加厉害的，我们知道SQLServer里面有一些系统的存储过程，能够执行操作系统的很多命令，比如xp_cmdshell，假如上面用户登陆的时候，用户名部分输入的是“johny’ exec xp_cmdshell ‘format d:/s’--”，大家想想一下后果是什么？有恶意的用户，只要把’format d:/s’这个命令稍加改造就能够做很多不合法的事情啦。

3. 如何防范SQL注入式攻击既然我们解释了为什么会产生SQL的注入式攻击，那么我们接下来说说如何来防范这种情况的发生，解决的办法有很多，我们逐个介绍一下。

a) 在进行系统部署的时候，不要采用sa来连接数据库，在数据库中新建一个帐号，对这个帐号的权限进行限制，只允许在指定的数据库里面执行一下添加，修改的权限，这样我们就可以很好地防止通过执行xp_cmdshell来攻击服务器了。

b) 采用用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。在这里大家可能会说，我只是要执行一个简单的查询，难道也要写成一个存储过程吗，这样是不是太麻烦了，其实没有关系，我们只要采用ado.net里面的SqlParameter把上面的代码稍加改造，如下

try
{
　string strUserName = this.txtUserName.Text;
　string strPwd = this.txtPwd.Text;
　string strSql = "select * from userinfo where UserName=@UserName and Password=@Password";
　SqlConnection objDbConn = new SqlConnection("数据库连接字符串");
　SqlDataAdapter objAdapter = new SqlDataAdapter(strSql,objDbConn);
　objAdapter.SelectCommand.Parameters.Add("@UserName",strUserName);
　objAdapter.SelectCommand.Parameters.Add("@Password",strPwd);
　DataSet objDataSet = null;
　objAdapter.Fill(objDataSet);　//TODO 对获取的数据进行判断。
}
catch (System.Exception e)
{
　this.lblMsg.Text = e.Message;
　this.lblMsg.Visible = true;
}

　　上面的这段代码，我们就可以比较好地防范SQL 注入式攻击了，原因是SQLServer里面存在一个sp_executesql的系统存储过程，ado里面只要sql语句中用到了 SqlParameter的方式的话，那么sql语句将会通过sp_executesql来执行，具体的情况大家可以用SQL Server里面的Profile来进行跟踪一下，就非常清楚了。通过这种方法，我们就即可以不用写存储过程，有能够很好地防范SQL注入式攻击了对用户的输入进行校验，将用户输入里面存在的单引号进行转义（一个单引号替换成两个单引号），并且过滤里面存在的注释符，与及特殊命令。