您的位置:首页 > 编程语言 > ASP

asp.net网站防止sql注入

2011-08-26 18:38 471 查看
防止SQL注入。在global加

void Application_BeginRequest(Object sender, EventArgs e)

{

StartProcessRequest();

}

#region

private void StartProcessRequest()

{

try

{

string getkeys = "";

string sqlErrorPage = "index.aspx";

if (System.Web.HttpContext.Current.Request.QueryString != null)

{

for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)

{

getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];

if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))

{

System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);

System.Web.HttpContext.Current.Response.End();

}

}

}

if (System.Web.HttpContext.Current.Request.Form != null)

{

for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)

{

getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];

if (getkeys == "__VIEWSTATE") continue;

if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))

{

System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);

System.Web.HttpContext.Current.Response.End();

}

}

}

}

catch

{

// 错误处理: 处理用户提交信息!

}

}

private bool ProcessSqlStr(string Str)

{

bool ReturnValue = true;

try

{

if (Str.Trim() != "")

{

string SqlStr = "exec|insert|select|delete|master|update|truncate|declare";

string[] anySqlStr = SqlStr.Split('|');

foreach (string ss in anySqlStr)

{

if(!Str.ToLower().Contains("updatepanel"))

{

if (Str.ToLower().IndexOf(ss) >= 0)

{

ReturnValue = false;

break;

}

}

}

}

}

catch

{

ReturnValue = false;

}

return ReturnValue;

}

#endregion
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航