相關(guān)資訊
- 《戰(zhàn)國(guó)無(wú)雙4-2》怎么換服裝?戰(zhàn)國(guó)無(wú)
- 關(guān)于責(zé)任的名言警句大全
- 《戰(zhàn)國(guó)無(wú)雙4-2》PC版如何聯(lián)機(jī)? 戰(zhàn)
- 戰(zhàn)國(guó)無(wú)雙4-2技能覺(jué)醒牛逼嗎 全新
- 《戰(zhàn)國(guó)無(wú)雙4-2》手柄無(wú)效怎么解決
- 戰(zhàn)國(guó)無(wú)雙4-2如何設(shè)置語(yǔ)言 戰(zhàn)國(guó)無(wú)雙
- 戰(zhàn)國(guó)無(wú)雙4-2怎么樣跳過(guò)進(jìn)入開(kāi)場(chǎng)動(dòng)畫(huà)
- 什么是應(yīng)屆生畢業(yè)生
- 應(yīng)屆生簡(jiǎn)歷自我評(píng)價(jià)
- 應(yīng)屆生簡(jiǎn)歷怎么寫(xiě)
本類(lèi)常用軟件
-
福建農(nóng)村信用社手機(jī)銀行客戶端下載下載量:584204
-
Windows優(yōu)化大師下載量:416896
-
90美女秀(視頻聊天軟件)下載量:366961
-
廣西農(nóng)村信用社手機(jī)銀行客戶端下載下載量:365699
-
快播手機(jī)版下載量:325855
每日一囧
所謂SQL注入,就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢字符暴出的,這類(lèi)表單特別容易受到SQL注入式攻擊.下面給大家分享教你如何防止SQL注入攻擊的,希望對(duì)大家有幫助。
防SQL 注入是一個(gè)系統(tǒng)工程,在項(xiàng)目開(kāi)發(fā)中就要系統(tǒng)的考慮SQL 注入的問(wèn)題。一般做到以下4點(diǎn),能比較好的控制SQL 注入:
- 嚴(yán)格驗(yàn)證用戶的一切輸入,包括URL參數(shù)。
- 將用戶登錄名稱(chēng)、密碼等數(shù)據(jù)加密保存
- 不要用拼接字符串的方式來(lái)生成SQL語(yǔ)句,而是用SQL Parameters 傳參數(shù)或者用存儲(chǔ)過(guò)程來(lái)查詢
- 嚴(yán)格驗(yàn)證上傳文件的后綴,exe、aspx、asp等可執(zhí)行程序禁止上傳。
這里介紹一個(gè)簡(jiǎn)單通用的方法,用來(lái)驗(yàn)證字符串中是否有敏感字符,參數(shù)可以是一個(gè)字符串,也可以是一個(gè)字符串集合,敏感字符可以在Lawlesses數(shù)組中定義:
- public static string[] Lawlesses = { "=", "'" };
- /// <summary>
- /// 敏感字符檢測(cè)
- /// </summary>
- /// <param name="args"></param>
- /// <returns></returns>
- public static bool CheckParams(params object[] args)
- {
- if (Lawlesses == null || Lawlesses.Length <= 0) return true;
- //構(gòu)造正則表達(dá)式,例:Lawlesses是=號(hào)和'號(hào),則正則表達(dá)式為 .*[=}'].*
- //另外,由于我是想做通用而且容易修改的函數(shù),所以多了一步由字符數(shù)組到正則表達(dá)式,實(shí)際使用中,直接寫(xiě)正則表達(dá)式亦可;
- string str_Regex = ".*[";
- for (int i = 0; i < Lawlesses.Length - 1; i++)
- {
- str_Regex += Lawlesses[i] + "|";
- }
- str_Regex += Lawlesses[Lawlesses.Length - 1] + "].*";
- //
- foreach (object arg in args)
- {
- if (arg is string)//如果是字符串,直接檢查
- {
- if (Regex.Matches(arg.ToString(), str_Regex).Count > 0)
- return false;
- }
- else if (arg is ICollection)//如果是一個(gè)集合,則檢查集合內(nèi)元素是否字符串,是字符串,就進(jìn)行檢查
- {
- foreach (object obj in (ICollection)arg)
- {
- if (obj is string)
- {
- if (Regex.Matches(obj.ToString(), str_Regex).Count > 0)
- return false;
- }
- }
- }
- }
- return true;
- }
熱門(mén)評(píng)論
最新評(píng)論