F6 Team

最近在MSDN看這很多SQL Injection的相關文章...

小弟就把它記錄在我的Blog裡,以後才不會忘記..

說到SQL Injection,為什麼要防址SQL Injection呢...

可以參考 黃忠成 的文章:LINQ - 對付 SQL Injection 的 "免費補洞策略"

接下來就是要實作IHttpModule介面,並且註冊到HttpModule裡

當網站在執行網頁,用到一些參數傳遞時,會先去驗證參數是否有一些特定文字,像是【--】、【 OR 】、【'】、【1=1】

當參數有那些特定文字時,很可能就會讓網站有安全性上的危險,所以遇到那些文字,就跳至錯誤頁面...

範例是參考  Coding techniques for protecting against Sql injection ,詳細內容請至那篇文章瀏覽

首先在App_Code裡加入一個類別SqlInjection.cs,命名空間為Sample

using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.WebControls; using System.Web.UI.WebControls.WebParts; using System.Web.UI.HtmlControls; namespace Sample { public class SqlInjection : IHttpModule { //加入要驗證的特定文字 public static string[] blackList = { "'", "--", " OR ", "1=1" }; public void Dispose() { //no-op } //當網站每一個ASPX網頁執行時,會先跑Init事件 public void Init(HttpApplication app) { app.BeginRequest += new EventHandler(app_BeginRequest); } //加入要驗證的參數類型,包含QueryString,Form,Cookies void app_BeginRequest(object sender, EventArgs e) { HttpRequest Request = (sender as HttpApplication).Context.Request; foreach (string key in Request.QueryString) CheckInput(Request.QueryString[key]); foreach (string key in Request.Form) CheckInput(Request.Form[key]); foreach (string key in Request.Cookies) CheckInput(Request.Cookies[key].Value); } //執行特定文字的驗證 private void CheckInput(string parameter) { for (int i = 0; i < blackList.Length; i++) { if ((parameter.IndexOf(blackList[i], StringComparison.OrdinalIgnoreCase) >= 0)) { //找到特定文字,跳至錯誤頁 HttpContext.Current.Response.Redirect("~/Error.aspx"); } } } } }

在Web.Config設定HttpModule

<system.web> <httpModules> <!-- name:類別名稱,type:命名空間.類別名稱 --> <add name="SqlInjection" type="Sample.SqlInjection"/> </httpModules> </system.web>

執行結果：

引用URL