SQL注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一下如何从整个系统防止注入。
做到以下三步,相信你的程序就会比较安全了,而且对整个网站的维护也将变的简单。
一、数据验证类
parameterCheck.cs
public class parameterCheck{
public static bool isEmail(string emailString){
return System.Text.RegularExpressions.Regex.IsMatch(emailString, “[’\w_-]+(\.
[’\w_-]+)*@[’\w_-]+(\.[’\w_-]+)*\.[a-zA-Z]{2,4}”);
}
public static bool isInt(string intString){
return System.Text.RegularExpressions.Regex.IsMatch(intString ,”^(\d{5}-\d{4})|
(\d{5})$”);
}
public static bool isUSZip(string zipString){
return System.Text.RegularExpressions.Regex.IsMatch(zipString ,”^-[0-9]+$|^[0-9]
+$”);
}
}
二、Web.config
在你的Web.config文件中,在下面增加一个标签,如下:
<appSettings>
<add key=”safeParameters” value=”OrderID-int32,CustomerEmail-email,ShippingZipcode-
USzip” />
</appSettings>其中key是后面的值为“OrderId-int32”等,其中“-”前面表示参数的名称比如:OrderId,后面的int32表示数据类型。
三、Global.asax
在Global.asax中增加下面一段:
protected void Application_BeginRequest(Object sender, EVEntArgs e){
String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings
[“safeParameters”].ToString().Split(’,’);
for(int i= 0 ;i < safeParameters.Length; i++){
String parameterName = safeParameters[i].Split(’-’)[0];
String parameterType = safeParameters[i].Split(’-’)[1];
isValidParameter(parameterName, parameterType);
}
}
public void isValidParameter(string parameterName, string parameterType){
string parameterValue = Request.QueryString[parameterName];
if(parameterValue == null) return;
if(parameterType.Equals(“int32”)){
if(!parameterCheck.isInt(parameterValue)) Response.Redirect(“parameterError.aspx”);
}
else if (parameterType.Equals(“double”)){
if(!parameterCheck.isDouble(parameterValue)) Response.Redirect(“parameterError.aspx”);
}
else if (parameterType.Equals(“USzip”)){
if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect(“parameterError.aspx”);
}
else if (parameterType.Equals(“email”)){
if(!parameterCheck.isEmail(parameterValue)) Response.Redirect(“parameterError.aspx”);
}
}
以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。
-
让IT更简单:深信服在京举办2016年大客户技术高峰论坛
6月18日,以“创新佳法,IT简法”为主题的深信服2016年大客户技术高峰论坛在北京国贸大酒店隆重举行。这是深信服第8年举办高峰技术论坛,会议吸引了来自全国各地的800多位CIO前来参与,共同探讨IT技术的新动向。
-
为什么要部署Web应用防火墙?
大型的Web应用易受多种攻击,如SQL注入和跨站脚本攻击漏洞等,为保护Web应用程序,建议企业利用Web应用防火墙……
-
当我们谈Web应用安全的时候 主要谈哪些(下)
在本文中,主要介绍了业界几个需要被着重考虑的Web应用程序的安全问题:SQL注入、表格和脚本以及Cookies和会话管理。