|
sql注入是被谈的很多的一个话题,有很多的方法能够实现sql的防注入,在这里就简单说一下如果使用HttpModule来实现sql的防注入。
在项目中添加一个类让其实现IHttpModule接口。IHttpModule接口有两个方法 Init 和 Dispose。然后在Init方法中来订阅
AcquireRequestState事件。
Code
;z�P�h0M�l&r�b$K�H"H(M0 public void Dispose()ITPUB个人空间4t�[5~�C)W�z�a3^0~
{
2m�z$k9x#E*R0 ITPUB个人空间 y*v�G�O�z+}
}
public void Init(HttpApplication context)
�h�|+c�]�u/W�F2I(m0 {ITPUB个人空间.`�z#w {&E"V
context.AcquireRequestState += new EventHandler(context_AcquireRequestState);
�p$q)m z�X)D�G�^2g#y0 }
7@,R1[�s�N/H�? ~0
为什么是AcquireRequestState 事件而不是Begin_Request呢 ,因为在Begin_Request执行的时候还没有加载session状态,而在处理的时侯
可能会用到session。
在AcquireRequestState 事件中我们就要进行相应的处理了,思路如下,一般网站提交数据只有两个地方,表单和url,所以就在该事件中将从这两处提交的数据截取,判断是否有一些危险字符,然后做相应处理。代码如下
Code
�{ a/G�o�~&O0private void context_AcquireRequestState(object sender, EventArgs e)ITPUB个人空间;q!Y#o�f�] i0E
{ITPUB个人空间�i2]'\8C s t
HttpContext context = ((HttpApplication)sender).Context;
tryITPUB个人空间6J�C g9Y4e6e T�Q
{
�a�F:O3r�K)F�_0 string getkeys = string.Empty;ITPUB个人空间/a�O%y4x�w�K#_
string sqlErrorPage = "~/Error.aspx";//转向的错误提示页面
S�x�\(@:A0 string keyvalue = string.Empty;
string requestUrl = context.Request.Path.ToString();
�W/o/l9c$e/X0 //url提交数据ITPUB个人空间 g:X$L)w i�M:T%y
if (context.Request.QueryString != null)
&n4e�o�h�e-p(i0 {ITPUB个人空间+U�A�b/V M v
for (int i = 0; i < context.Request.QueryString.Count; i++)ITPUB个人空间0|�U'J�\.y�C�y
{
O D7R�A.T�Z�J0 getkeys = context.Request.QueryString.Keys[i];ITPUB个人空间7S�B�s�[�L
keyvalue = context.Server.UrlDecode(context.Request.QueryString[getkeys]);
if (!ProcessSqlStr(keyvalue))ITPUB个人空间�F:L"S�v7\�a
{
�G(D6w'}�V%b0 context.Response.Redirect(sqlErrorPage);
-U�h1c(O�b�p g�C?e0 context.Response.End();
'g R�x2a�a0 break;ITPUB个人空间)R&^,e�r�|!\�U c�L�i
}ITPUB个人空间 l;n7B,B?p*o:L P ^"K
}
�J T3T�_�V�X N R0 }
�},g�L$t3z�u0 //表单提交数据
/?�]�r)j0P+O0 if (context.Request.Form. != null)ITPUB个人空间�`%C�[�q�y�N
{
�~2[,j�t5r�];?(v0 for (int i = 0; i < context.Request.Form.Count; i++)ITPUB个人空间�L�H�z�K U5~
{ITPUB个人空间�t \+X�w�p�P(l6F
getkeys = context.Request.Form.Keys[i];
�p�e�d8P#V#?�_(r�N0 keyvalue = context.Server.HtmlDecode(context.Request.Form[i]);
�\8R�G.A1C0A�X0 if (getkeys == "__VIEWSTATE") continue;
�I�f!B%H/Q�E0 if (!ProcessSqlStr(keyvalue))ITPUB个人空间9d�Z�e�z,}7t
{
�M�B7w�V ~;Y�E0 context.Response.Redirect(sqlErrorPage);ITPUB个人空间0o�W?m'o�I L
context.Response.End();
2P:g:H5q�K�_ K�F0 break;ITPUB个人空间?u"S;E�x�r�J5k�U�c�X/V
}
�K�w�G�H�q�e�D;o S0 }
1Y#a+r)g f�k0 }ITPUB个人空间�@�V z�z�T�k4g
}
9l0[ K0S5F0 catch (Exception ex)ITPUB个人空间�w }4Y N�P%k�@6p C�h
{
H"O?R a�L"P0^0 }ITPUB个人空间�]�_�R W/K�N
}
-|8i p6E�C0
上面的代码只是做了简单的处理,当然也可以在事件中将输入非法关键字的用户ip ,操作页面的url,时间等信息记录在数据库中或是记录在日志中。而且还用到了一个叫ProcessSqlStr的方法,这个方法就是用来处理字符串的,判断是否合法,如下
CodeITPUB个人空间/j1{�{ v�w�C�o
private bool ProcessSqlStr(string str)ITPUB个人空间�f�_,e z,]:q�x
{
�e�Y)V/g�E-s+K!n?G0 bool returnValue = true;
�C+n�l�G�n0 tryITPUB个人空间�J"B�N H8[ p�j
{
�b"o�o5X$p?^�L/i&T�Z0 if (str.Trim() != "")
%J�x)@�^+j w)F�I A0 {ITPUB个人空间�y$^�~3R�t
//一般将关键词组配置在webconfig中
�C�R�u y�}�j;L�O0 //string sqlStr = ConfigurationManager.AppSettings["FilterSql"].Trim();
�G e {�@8k F�` k�F4n0 string sqlStr = "declare |exec|varchar |cursor |begin |open |drop |creat |select |truncate";
string[] sqlStrs = sqlStr.Split('|');
;P H _7p(t5g { x6B0 foreach (string ss in sqlStrs)
(F�k,q�\�{'f:~4t0 {ITPUB个人空间7\/h'I�}�u2_�d�b
if (str.ToLower().IndexOf(ss) >= 0)ITPUB个人空间�k;\�h6G2u�~
{ITPUB个人空间�H�G(F�]6G
m_sqlstr = ss;
j,|�|�I9v�r [�]*Q0 returnValue = false;
5`�@�X2Z6S�V2e.P;Y�P0 break;
P([�u(q)g�j"M l0 }
I3v�a7B7g6u0 }ITPUB个人空间�D�r�Q!U�H4P�f$V)v�n
}ITPUB个人空间�}-k�C*j&H1e�\�j3Z�}�N
}
"Q�c�H$O�{'R�^0 catchITPUB个人空间&b4i%\"K ~3F�m
{ITPUB个人空间�]�X�k)q�z4I8n-\,y
returnValue = false;ITPUB个人空间-x3n%b�|�A�o v�o
}ITPUB个人空间�m"h n�z#N6q�z�X
return returnValue;ITPUB个人空间&l9I,n�a-t V�h-o
}
�R�C�S,N5|�a�_0
到这儿类就写好了,再在web.config中做相应的配置就大功告成
CodeITPUB个人空间'G(? q s"}�x�\"p�^
<httpModules>ITPUB个人空间�A @+{ I�Q.Q&_�a'E
<add type="SqlHttpModule " name="SqlHttpModule"/>ITPUB个人空间!q-B([ ?)X�o�F
</httpModules>
�c0R;U�h�r V6I0
用这种方法很方便,只需在这一处做处理,全站都能应用到,不过如果一个用户想用varchar 等sql的关键字来做用户名注册的话也会被挡掉,
不过应该没有人这么无聊吧,呵呵!
asp.net 防SQL注入
|
