網站安全性：C#防SQL注入代碼的實現方法

對於網站的安全性，是每個網站開發人員和運營者最關心的問題。網站一旦出現漏洞，那勢必將造成很大的損失。為了提高網站的安全性，首先網站要防注入，最重要的是伺服器的安全設施要做到位。

    下面說下網站防注入的幾點要素。

    一：丟棄SQL語句直接拼接，雖然這個寫起來很快很方便。

    二：如果用SQL語句，那就使用參數化，添加Param

    三：儘可能的使用預存程序，安全效能高而且處理速度也快

    四：屏蔽SQL，javascript等注入（很是主要的），對於每個檔案寫是不太可能的。所以要找到對所有檔案起作用的辦法。我在網上收集了以下3種方法

    C#防SQL注入方法一

    在Web.config檔案中， < appSettings>下面增加一個標籤：如下

 

  
< appSettings> 
  
< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" /> 
  
< /appSettings>  
 

    其中key是 < saveParameters>後面的值為"OrderId-int32"等，其中"-"前面表示參數的名稱比如：OrderId，後面的int32表示資料類型。

    C#防SQL注入方法二

    在Global.asax中增加下面一段：  

 

  
protected void Application_BeginRequest(Object sender, EventArgs e){ 
  
String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(','); 
  
for(int i= 0 ;i <   safeParameters.Length; i++){ 
  
String parameterName = safeParameters[i].Split('-')[0]; 
  
String parameterType = safeParameters[i].Split('-')[1]; 
  
isValidParameter(parameterName, parameterType); 
  
} 
  
} 
  
 
  
public void isValidParameter(string parameterName, string parameterType){ 
  
string parameterValue = Request.QueryString[parameterName]; 
  
if(parameterValue == null) return; 
  
 
  
if(parameterType.Equals("int32")){ 
  
if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx"); 
  
} 
  
else if (parameterType.Equals("USzip")){ 
  
if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx"); 
  
} 
  
else if (parameterType.Equals("email")){ 
  
if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx"); 
  
} 
  
}  
 

    C#防SQL注入方法三

    使用字串過濾類

 

  
using System; 
  
 
  
namespace web.comm 
  
{ 
  
    /**//// < summary> 
  
    /// ProcessRequest 的摘要說明。 
  
    /// < /summary> 
  
    public class ProcessRequest 
  
     { 
  
        public ProcessRequest() 
  
         { 
  
            // 
  
            // TODO: 在此處添加建構函式邏輯 
  
            // 
  
         } 
  
 
  
         SQL注入式攻擊程式碼分析#region SQL注入式攻擊程式碼分析 
  
        /**//// < summary> 
  
        /// 處理使用者提交的請求 
  
        /// < /summary> 
  
        public static void StartProcessRequest() 
  
         { 
  
             
  
//             System.Web.HttpContext.Current.Response.Write("< script>alert('dddd');< /script>"); 
  
            try 
  
             { 
  
                string getkeys = ""; 
  
                //string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 
  
                if (System.Web.HttpContext.Current.Request.QueryString != null) 
  
                 { 
  
     
  
                    for(int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++) 
  
                     { 
  
                         getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i]; 
  
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys],0)) 
  
                         { 
  
                            //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"); 
  
                             System.Web.HttpContext.Current.Response.Write("< script>alert('請勿非法提交！');history.back();< /script>"); 
  
                             System.Web.HttpContext.Current.Response.End(); 
  
                         } 
  
                     } 
  
                 } 
  
                if (System.Web.HttpContext.Current.Request.Form != null) 
  
                 { 
  
                    for(int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++) 
  
                     { 
  
                         getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i]; 
  
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys],1)) 
  
                         { 
  
                            //System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"); 
  
                             System.Web.HttpContext.Current.Response.Write("< script>alert('請勿非法提交！');history.back();< /script>"); 
  
                             System.Web.HttpContext.Current.Response.End(); 
  
                         } 
  
                     } 
  
                 } 
  
             } 
  
            catch 
  
             { 
  
                // 錯誤處理: 處理使用者提交資訊! 
  
             } 
  
         } 
  
        /**//// < summary> 
  
        /// 分析使用者請求是否正常 
  
        /// < /summary> 
  
        /// < param name="Str">傳入使用者提交資料< /param> 
  
        /// < returns>返回是否含有SQL注入式攻擊代碼< /returns> 
  
        private static bool ProcessSqlStr(string Str,int type) 
  
         { 
  
            string SqlStr; 
  
 
  
            if(type == 1) 
  
                 SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare "; 
  
            else 
  
                 SqlStr = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare"; 
  
 
  
            bool ReturnValue = true; 
  
            try 
  
             { 
  
                if (Str != "") 
  
                 { 
  
                    string[] anySqlStr = SqlStr.Split('|'); 
  
                    foreach (string ss in anySqlStr) 
  
                     { 
  
                        if (Str.IndexOf(ss)>=0) 
  
                         { 
  
                             ReturnValue = false; 
  
                         } 
  
                     } 
  
                 } 
  
             } 
  
            catch 
  
             { 
  
                 ReturnValue = false; 
  
             } 
  
            return ReturnValue; 
  
         } 
  
         #endregion 
  
 
  
     } 
  
}