C#-[祈福]天佑中华 众志成城 抗震救灾 重建家园

你的苦难就是我们的苦难,你的希望就是我们的希望。当灾难来临时,我们与你在一起,一起为逝者默念安息、一起为伤者祈祷平安。而更多的关怀和力量,正悄悄在汇集:天佑中华,众志成城;抗震救灾、重建家园......
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

ASP.NET防止SQL注入函数

Posted on 2008-05-21 22:30  尹合磊  阅读(2035)  评论(1编辑  收藏  举报

using System;
using System.Text.RegularExpressions;
using System.Web;

namespace FSqlKeyWord
......{
    /**//**//**//// <summary>
    /// SqlKey 的摘要说明。
    /// </summary>
    public class SqlKey
    ......{
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";
        public SqlKey(System.Web.HttpRequest _request)
        ......{
            //
            // TODO: 在此处添加构造函数逻辑
            //
            this.request = _request;
        }

        /**//**//**//// <summary>
        /// 只读属性 SQL关键字
        /// </summary>
        public static string KeyWord
        ......{
            get
            ......{
                return StrKeyWord;
            }
        }
        /**//**//**//// <summary>
        /// 只读属性过滤特殊字符
        /// </summary>
        public static string RegexString
        ......{
            get
            ......{
                return StrRegex;
            }
        }
        /**//**//**//// <summary>
        /// 检查URL参数中是否带有SQL注入可能关键字。
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestQuery()
        ......{
            if (request.QueryString.Count != 0)
            ......{
                //若URL中参数存在,逐个比较参数。
                for (int i = 0; i < request.QueryString.Count; i++)
                ......{
                    // 检查参数值是否合法。
                    if (CheckKeyWord(request.QueryString[i].ToString()))
                    ......{
                        return true;
                    }
                }
            }
            return false;
        }

        /**//**//**//// <summary>
        /// 检查提交表单中是否存在SQL注入可能关键字
        /// </summary>
        /// <param name="_request">当前HttpRequest对象</param>
        /// <returns>存在SQL注入关键字true存在,false不存在</returns>
        public bool CheckRequestForm()
        ......{
            if (request.Form.Count > 0)
            ......{
                //获取提交的表单项不为0 逐个比较参数
                for (int i = 0; i < request.Form.Count; i++)
                ......{
                    //检查参数值是否合法
                    if (CheckKeyWord(request.Form[i]))
                    ......{
                        //存在SQL关键字
                        return true;

                    }
                }
            }
            return false;
        }

        /**//**//**//// <summary>
        /// 静态方法,检查_sword是否包涵SQL关键字
        /// </summary>
        /// <param name="_sWord">被检查的字符串</param>
        /// <returns>存在SQL关键字返回true,不存在返回false</returns>
        public static bool CheckKeyWord(string _sWord)
        ......{
            if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
                return true;
            return false;
        }

        /**//**//**//// <summary>
        /// 反SQL注入:返回1无注入信息,否则返回错误处理
        /// </summary>
        /// <returns>返回1无注入信息,否则返回错误处理</returns>
        public string CheckMessage()
        ......{
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()
            ......{
                msg = "<span style='font-size:24px;'>非法操作!<br>";
                msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";
                msg += "操作时间:" + DateTime.Now + "<br>";
                msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";
                msg += "<a href="#" onclick="history.back()">返回上一页</a></span>";
            }
            return msg.ToString();
        }
    }
}