⑴ 对于动态构造SQL查询的场合 可以使用下面的技术 第一 替换单引号 即把所有单独出现的单引号改成两个单引号 防止攻击者修改SQL命令的含义 再来看前面的例子 SELECT * from Users WHERE login = or = AND password = or = 显然会得到与 SELECT * from Users WHERE login = or = AND password = or = 不同的结果 第二 删除用户输入内容中的所有连字符 防止攻击者构造出类如 SELECT * from Users WHERE login = mas AND password = 之类的查询 因为这类查询的后半部分已经被注释掉 不再有效 攻击者只要知道一个合法的用户登录名称 根本不需要知道用户的密码就可以顺利获得访问权限 第三 对于用来执行查询的数据库帐户 限制其权限 用不同的用户帐户执行查询 插入 更新 删除 *** 作 由于隔离了不同帐户可执行的 *** 作 因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT UPDATE或DELETE命令 ⑵ 用存储过程来执行所有的查询 SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击 此外 它还使得数据库权限可以限制到只允许特定的存储过程执行 所有的用户输入必须遵从被调用的存储过程的安全上下文 这样就很难再发生注入式攻击了 ⑶ 限制表单或查询字符串输入的长度 如果用户的登录名字最多只有 个字符 那么不要认可表单中输入的 个以上的字符 这将大大增加攻击者在SQL命令中插入有害代码的难度 ⑷ 检查用户输入的合法性 确信输入的内容只包含合法的数据 数据检查应当在客户端和服务器端都执行 之所以要执行服务器端验证 是为了弥补客户端验证机制脆弱的安全性 在客户端 攻击者完全有可能获得网页的源代码 修改验证合法性的脚本(或者直接删除脚本) 然后将非法内容通过修改后的表单提交给服务器 因此 要保证验证 *** 作确实已经执行 唯一的办法就是在服务器端也执行验证 你可以使用许多内建的验证对象 例如RegularExpressionValidator 它们能够自动生成验证用的客户端脚本 当然你也可以插入服务器端的方法调用 如果找不到现成的验证对象 你可以通过CustomValidator自己创建一个 ⑸ 将用户登录名称 密码等数据加密保存 加密用户输入的数据 然后再将它与数据库中保存的数据比较 这相当于对用户输入的数据进行了 消毒 处理 用户输入的数据不再对数据库有任何特殊的意义 从而也就防止了攻击者注入SQL命令 System Web Security FormsAuthentication类有一个HashPasswordForStoringInConfigFile 非常适合于对输入数据进行消毒处理 ⑹ 检查提取数据的查询所返回的记录数量 如果程序只要求返回一个记录 但实际返回的记录却超过一行 那就当作出错处理
以上资料参考与 赛迪网资料 但是我觉得在我们的ASP NET程序里防止SQL 注入 首先应该尽量使用存储过程 关于使用存储过程的好处在这里就不展开讨论了 使用参数传递变量 最不妥当的方法就是认为判断SQL注入信息 尽管如此 可能日常开发中由于种种原因不能做的面面具道 存在各种各种的实际问题 现在是最近在一个项目中没有考虑SQL注入项目补救写的一个组件库 资料也参考来源与网络 实现很简单 下面是具体实现的源程序 using System using System Text RegularExpressions using System Web namespace FSqlKeyWord …{ /**//// <summary> /// SqlKey 的摘要说明 /// </summary> public class SqlKey …{ private HttpRequest request private const string StrKeyWord = @ select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user| |or|and private const string StrRegex = @ [ || |/|(|)|[|]|}|{|%|@|*|!| ] public SqlKey(System Web HttpRequest _request) …{ // // TODO: 在此处添加构造函数逻辑 // this request = _request } /**//// <summary> /// 只读属性 SQL关键字 /// </summary> public static string KeyWord …{ get …{ return StrKeyWord } } /**//// <summary> /// 只读属性过滤特殊字符 /// </summary> public static string RegexString …{ get …{ return StrRegex } } /**//// <summary> /// 检查URL参数中是否带有SQL注入可能关键字 /// </summary> /// <param name= _request >当前HttpRequest对象</param> /// <returns>存在SQL注入关键字true存在 false不存在</returns> public bool CheckRequestQuery() …{ if (request QueryString Count != ) …{ //若URL中参数存在 逐个比较参数 for (int i = i <request QueryString Counti++) …{ // 检查参数值是否合法 if (CheckKeyWord(request QueryString[i] ToString())) …{ return true } } } return false } /**//// <summary> /// 检查提交表单中是否存在SQL注入可能关键字 /// </summary> /// <param name= _request >当前HttpRequest对象</param> /// <returns>存在SQL注入关键字true存在 false不存在</returns> public bool CheckRequestForm() …{ if (request Form Count >) …{ //获取提交的表单项不为 逐个比较参数 for (int i = i <request Form Counti++) …{ //检查参数值是否合法 if (CheckKeyWord(request Form[i])) …{ //存在SQL关键字 return true } } } return false } /**//// <summary> /// 静态方法 检查_sword是否包涵SQL关键字 /// </summary> /// <param name= _sWord >被检查的字符串</param> /// <returns>存在SQL关键字返回true 不存在返回false</returns> public static bool CheckKeyWord(string _sWord) …{ if (Regex IsMatch(_sWord StrKeyWord RegexOptions IgnoreCase) || Regex IsMatch(_sWord StrRegex)) return true return false } /**//// <summary> /// 反SQL注入 返回 无注入信息 否则返回错误处理 /// </summary> /// <returns>返回 无注入信息 否则返回错误处理</returns> public string CheckMessage() …{ string msg = if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm() …{ msg = <span style= font size: px>非法 *** 作!<br> msg += *** 作IP: + request ServerVariables[ REMOTE_ADDR ] + <br> msg += *** 作时间 + DateTime Now + <br> msg += 页面 + request ServerVariables[ URL ] ToLower() + <br> msg += <a # onclick= history back() >返回上一页</a></span> } return msg ToString() } } } lishixinzhi/Article/program/net/201311/11680
<input onkeyup="usrNameSet(this)" />
其它的自己可以随便调用
Js部分
//只能输入数字、字母、小数点、汉字、@
function usrNameSet(num){
var str=num.value
//var str = document.getElementById("userName").value
var value=str.replace(/[^\a-\z\A-\Z0-9\u4E00-\u9FA5\@\.]/g,'')
document.getElementById("userName").value=value
}
//手机号码、手机验证码,只能输入数字
function numberSet(num){
var str=num.value
var value=str.replace(/[^0-9]/g,'')
num.value=value
}
//推广码验证,只能输入数字跟字母
function spreadCodeSet(num){
var str=num.value
var value=str.replace(/[^\w\.\/]/g,'')
num.value=value
}
//密码设置 不能为空格
function passwordSet(num){
/*
var str=document.getElementById("password").value
var value=str.replace(/^ +| +$/g,'')
document.getElementById("password").value=value
*/
var str=num.value
var value=str.replace(/^ +| +$/g,'')
num.value=value
}
//登陆验证码
//只能是4位字母或数字
function UserVerifycodeSet(){
var str=document.getElementById("verifycode").value
var value=str.replace(/[^a-zA-Z0-9]/g,'')
document.getElementById("verifycode").value=value
}
//姓名和身份z认证
function nameNumberSet(num){
if(num.id=='text_name')//姓名 只能输入汉字
{
var str=num.value
var value=str.replace(/[^\u4E00-\u9FA5]/g,'')
num.value=value
}
else if(num.id=='text_idcard'){//身份z只能是数字和字母
var str=num.value
var value=str.replace(/[^a-zA-Z0-9]/g,'')
num.value=value
}
}
//邮箱输入 //只能输入数字、字母、小数点、汉字、@、-
function myMailSet(num){
var str=num.value
var value = str.replace(/[^\a-\z\A-\Z0-9\u4E00-\u9FA5\@\.\-\_]/g,'')
num.value=value
}
//充值输入设置,小数点后只能两位
function moneyInput(num){
//var str=num.value
//alert(str)
//var value=str.replace(function(){
//if(this.value==this.value2)returnif(this.value.search(/^\d*(?:\.\d{0,2})?$/)==-1)this.value=(this.value2)?this.value2:''else
this.value2=this.value
//})
//var value=str.toFixed(2)
// var value = str.replace(/[^a-zA-Z0-9]/g,'')
// num.value=value
if(num.value==num.value2)return
if(num.value.search(/^\d*(?:\.\d{0,2})?$/)==-1)
num.value=(num.value2)?num.value2:''
else num.value2=num.value
}
//地址输入设置
//只能输入数字、字母、
function addressSet(num){
var str=num.value
var value=str.replace(/[^\u4e00-\u9fa5\w]/g,'')
num.value=value
}
//yhk输入设置
function formatBankNoSet(BankNo){
//alert(BankNo.value)
var str=BankNo.value
var value=str.replace(/[^0-9]/g,'')
BankNo.value=value
}
//只能输入字母、汉字
function cnOrEn(num){
var str=num.value
var value=str.replace(/[^\a-zA-Z\u4E00-\u9FA5]/g,'')
num.value=value
}
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)