防SQL注入及页面输出内容验证处理-转

论坛 期权论坛 脚本     
匿名技术用户   2021-1-4 08:52   11   0

#region 防SQL注入及页面输出内容验证处理

       /// <summary>

///替换单引号

/// </summary>

/// <param name="str"></param>

/// <returns></returns>

public static string FormatSQLParamSign(string str)

{

StringBuilder sb = new StringBuilder(str.Trim());

sb.Replace("'", "''");

return sb.ToString();

}





public static readonly string blackwords = ";|and|exec|insert|select|delete|update|*|%|chr|mid|master|truncate|char|declare|drop table|xp_cmdshell|netlocalgroup|administrators|net user";



/// <summary>

///拼接sql字符串条件时,替换特殊字符,如'- |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare

/// </summary>

/// <param name="str"></param>

/// <returns></returns>

public static string FormatSQLParam(string str)

{

StringBuilder sb = new StringBuilder(str.Trim());

sb.Replace("'", "''");

string[] BlackList = blackwords.Split('|');

for (int i = 0; i < BlackList.Length; i++)

{

sb.Replace(BlackList[i], "");

}

return sb.ToString();

}





/// <summary>

/// 对Like 条件的特殊字符进行处理 % [ _ ^ '等

/// </summary>

/// <param name="str"></param>

/// <returns></returns>

public static string FormatSQLLikeParam(string str)

{

StringBuilder sb = new StringBuilder(str.Trim());

sb.Replace("'", "''").Replace("[", "[[]").Replace("%", "[%]").Replace("_", "[_]").Replace("^", "[^]");

return sb.ToString();

}


SQL Server查询中的特殊字符处理

我们都知道SQL Server查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。
但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。
其用途如下:
下划线:用于代替一个任意字符(相当于正则表达式中的 ? )
百分号:用于代替任意数目的任意字符(相当于正则表达式中的 * )
方括号:用于转义(事实上只有左方括号用于转义,右方括号使用最近优先原则匹配最近的左方括号)
尖号:用于排除一些字符进行匹配(这个与正则表达式中的一样)

以下是一些匹配的举例,需要说明的是,只有like操作才有这些特殊字符,=操作是没有的。
a_b... a[_]b%
a%b... a[%]b%
a[b... a[[]b%
a]b... a]b%
a[]b... a[[]]b%
a[^]b... a[[][^]]b%
a[^^]b... a[[][^][^]]b%

在实际进行处理的时候,对于=操作,我们一般只需要如此替换:
' -> ''
对于like操作,需要进行以下替换(注意顺序也很重要)
[ -> [[] (这个必须是第一个替换的!!)
% -> [%] (这里%是指希望匹配的字符本身包括的%而不是专门用于匹配的通配符)
_ -> [_]
^ -> [^]

对于xss攻击可以试着用一下微软的组件

AntiXssLibraryV1.5Installer.msi

查一下就可以

浅析XSS(Cross Site Script)漏洞原理

原文:

http://hi.baidu.com/freezesoul/blog/item/740840a99bece5fb1f17a27b.html

转载于:https://www.cnblogs.com/sendling/archive/2009/04/20/1440034.html

分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:7942463
帖子:1588486
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP