现在公安有一个专门负责信息安全的部门,前几天公司就收到了一个整改通知,防sql注入的整改。
我们公司开始对网站进行了简单的测试,普通的sql都能检测出来。
但还是被发了整改通知,肯定有些sql注入的方法没测出来,于是我就开始查找了sql注入的手法。
sql注入主要有:基于注释、基于一般错误、基于时间、联合查询、身份认证绕过。
网站常用请求注入有三种:普通的GET请求、表单POST提交,json格式POST提交。
经几天的努力,将防sql功能做出来了,并且做成了一个中间件。
使用nuget ,项目引用 ToolGood.SQLFirewall
在main方法中使用
app.UseSQLFirewall_ServerHeader("ToolGood"); //替换头信息,减少服务器信息
app.UseSQLFirewall(SQLFirewallType.MsSQL); //使用防sql注入
忽略部分url检测,代码如下
app.UseSQLFirewall(SQLFirewallType.MsSQL, "/Admins/Logs/Ajax/GetLoginList", "/Admins/User/Ajax/*");
注:星号为通配符,放在路径最后一位有效。
代码:https://github.com/toolgood/ToolGood.SQLFirewall
参考:https://github.com/payloadbox/sql-injection-payload-list
====================================================================================================
防sql注入有两个简单的方法,使用带参数的sql语句和使用存储过程。
但老项目不一定按这个逻辑来,可使用参考反向代理,穿一件反sql注入外套。
代码:https://github.com/toolgood/ToolGood.SQLFirewall/tree/main/ToolGood.Navigation
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· 没有源码,如何修改代码逻辑?
· NetPad:一个.NET开源、跨平台的C#编辑器