asp防止sql注入

① asp+sql 濡备綍链夋晥镄勯槻姝sql娉ㄥ叆

SQL娉ㄥ叆锛屼竴鑸鐢 request 鎻愪氦钥屾潵锛屾墍浠ヨ繃婊 request鍙傛暟鍗冲彲銆
姣斿傦纴姝ｅ父銮峰彇 id 涓 request("id") 锛岃幏鍙栧悗锛屽瑰叾杩涜屽己鍒惰浆涓篿nt鍨嬶纴濡
id = cint(request.querystring("id"))
钖岀悊锛屽嚒鏄鏁板瓧鍨嬬殑锛屼竴寰嬭繘琛屽垽鏂鏄钖︽暟瀛楁垨寮哄埗杞鎹銆
濡傛灉鏄瀛楃﹀瀷镄勶纴瑕佸啓鍏SQL璇鍙ョ殑锛屼竴寰嫔瑰崟寮曞彿杩涜岃浆涔夛纴濡
SQLserver鍜孉ccess涓锛屾浛鎹㈡垚涓や釜鍗曞紩鍙枫侻YSQL涓镟挎崲鎴 \' 绛夈
鍙浠ュ啓鎴愪竴涓锲哄畾镄勫嚱鏁版潵浠ｆ浛request锛屽彲浠ヨ揪鍒伴槻姝㈡敞鍏ョ殑鐩镄勚
缃戜笂涔熸湁涓浜涢氱敤镄勮繃婊ょ▼搴忥纴鍙浠ヨВ鍐冲ぇ閮ㄥ垎闂棰桡纴浣嗘洿澶氱殑镞跺欙纴涔熷苟涓嶈兘阒叉㈡敞鍏ョ殑鍙戠敓锛屽悓镞讹纴涔熶细缁欐ｅ父鎻愪氦甯︽潵涓浜涢夯鐑︺

② asp.net濡备綍阒叉sql娉ㄥ叆

SQL娉ㄥ叆鏀诲嚮鍜岄勯槻

闅忕潃缃戠粶镄勬櫘鍙婂拰鍏崇郴鏁版嵁搴撶殑骞挎硾搴旂敤锛岀绣缁滃畨鍏ㄥ彉寰楄秺𨱒ヨ秺閲嶈併备笅闱锛屾垜涓轰綘鎼灭储鏁寸悊浜哠QL娉ㄥ叆镄勬敾鍑诲拰阒茶寖銆傝峰弬钥冨苟阒呰汇傚笇链涘逛綘链夊府锷┿傛洿澶氢俊鎭璇峰叧娉ㄦ垜浠镄勫簲灞婃瘯涓氱敓锘硅缃戯紒

涓.SQL娉ㄥ叆琚鍑

绠钥岃█涔嬶纴SQL娉ㄥ叆鏄搴旂敤绋嫔簭寮鍙戜汉锻桦湪搴旂敤绋嫔簭涓镒忓栧紩鍏SQL浠ｇ爜镄勮繃绋嬨傚叾搴旂敤绋嫔簭镄勭碂绯曡捐′娇涔嬫垚涓哄彲鑳斤纴鍙链夐偅浜涚洿鎺ヤ娇鐢ㄧ敤鎴锋彁渚涚殑鍊兼潵鏋勫缓SQL璇鍙ョ殑搴旂敤绋嫔簭镓崭细鍙楀埌褰卞搷銆

渚嫔傦纴鍦ㄧ敤鎴疯緭鍏ュ㈡埛ID钖庯纴GridView鏄剧ず璇ュ㈡埛镄勬墍链夎岃板綍銆傚湪镟寸湡瀹炵殑𨱍呭喌涓嬶纴鐢ㄦ埛蹇呴’杈揿叆瀵嗙爜绛夎よ瘉淇℃伅锛屾垨钥呮牴鎹涔嫔墠镄勭橱褰曢〉闱㈣幏鍙栫敤鎴稩D銆傝缮鍙鑳芥湁涓浜涙枃链妗嗕緵鐢ㄦ埛杈揿叆鍏抽敭淇℃伅锛屽傝㈠崟镄勬棩链熻寖锲存垨浜у搧钖岖О銆傞梾棰樻槸濡备綍镓ц屽懡浠ゃ傚湪杩欎釜渚嫔瓙涓锛孲QL璇鍙ユ槸阃氲繃瀛楃︿覆鏋勯犳妧链锷ㄦ佸垱寤虹殑銆傛枃链妗唗xtID镄勫艰鐩存帴澶嶅埗鍒板瓧绗︿覆涓銆备唬镰佸备笅:

鍦ㄦ湰渚嬩腑锛屾敾鍑昏呭彲浠ョ℃敼SQL璇鍙ャ傞氩父锛屾敾鍑荤殑绗涓涓鐩镙囨槸銮峰彇阌栾淇℃伅銆傚傛灉阌栾澶勭悊涓嶅綋锛屽簳灞备俊鎭灏嗘毚闇茬粰鏀诲嚮钥呫傝ヤ俊鎭鍙鐢ㄤ簬杩涗竴姝ョ殑鏀诲嚮銆

渚嫔傦纴𨱍宠薄涓涓嫔綋鎭ㄥ湪鏂囨湰妗嗕腑杈揿叆浠ヤ笅瀛楃︿覆镞朵细鍙戠敓浠涔堛

阒垮皵寮楀熀鎴栬1=涓涓

镆ョ湅缁撴灉鐢熸垚镄勫畬鏁碨QL璇鍙:

璇ヨ鍙ュ皢杩斿洖镓链夎㈠崟璁板綍锛屽嵆浣胯繖浜涜㈠崟涓嶆槸鐢盇LFDI鍒涘缓镄勶纴锲犱负瀵逛簬姣忎竴琛岋纴1=1濮嬬粓涓虹湡銆傝繖镙峰仛镄勫悗鏋沧槸涓嶆樉绀哄綋鍓岖敤鎴风殑鍏蜂綋淇℃伅锛岃屾槸灏嗘墍链変俊鎭鏄剧ず缁欐敾鍑昏呫傚傛灉鏁忔劅淇℃伅锛屽傜ぞ浼氩畨鍏ㄥ彿镰併佺敓镞ユ垨淇＄敤鍗′俊鎭鏄剧ず鍦ㄥ睆骞曚笂锛屽皢浼氩甫𨱒ヤ弗閲岖殑闂棰樸傚叾瀹炶繖浜涚亩鍗旷殑SQL娉ㄥ叆寰寰鏄闾ｄ簺澶у瀷鐢靛晢镄勭储鎭笺备竴鑸𨱒ヨ达纴鏀诲嚮镣逛笉鍦ㄤ簬鏂囨湰妗嗭纴钥屽湪浜庢煡璇㈠瓧绗︿覆(鍙浠ョ敤𨱒ュ悜鏁版嵁搴扑紶杈揿硷纴姣斿备粠鍒楄〃椤靛埌璇︾粏椤电殑鍞涓镙囱瘑绗)銆

杩桦彲浠ヨ繘琛屾洿澶嶆潅镄勬敾鍑汇备緥濡傦纴鏀诲嚮钥呭彲浠ヤ娇鐢ㄤ袱涓杩炲瓧绗(-)𨱒ユ敞閲婃帀SQL璇鍙ョ殑鍏朵綑閮ㄥ垎銆傝繖绉嶆敾鍑讳粎闄愪簬SQLServer锛屼絾瀵逛簬鍏朵粬绫诲瀷镄勬暟鎹搴扑篃链夌瓑鏁堢殑鏂规硶锛屾瘆濡侻ySql浣跨敤(#)鍜孙racle浣跨敤(锛)鍙枫傛ゅ栵纴鏀诲嚮钥呭彲浠ユ墽琛屽寘钖浠绘剰SQL璇鍙ョ殑镓瑰勭悊锻戒护銆傚逛簬SQLServer鎻愪緵绋嫔簭锛屾敾鍑昏呭彧闇鍦ㄦ柊锻戒护鍓嶉溃锷犱笂鍒嗗彿(锛)銆傛敾鍑昏呭彲浠ラ氲繃杩欑嶆柟寮忓垹闄ゅ叾浠栬〃镄勫唴瀹癸纴鐢氲呖鍙浠ヨ皟鐢⊿QLServer镄勭郴缁熷瓨鍌ㄨ繃绋媥p_cmdshell𨱒ュ懡浠ゅ拰镓ц屼换镒忕▼搴忋

鏀诲嚮钥呭湪鏂囨湰妗嗕腑杈揿叆浠ヤ笅鍐呭癸纴鍏剁洰镙囨槸鍒犻櫎Customers琛ㄤ腑镄勬墍链夎屻

銆娄鸡鏄ャ嬶绂浠庡㈡埛涓鍒犻櫎*

绗浜岋纴棰勯槻

濡备綍阒叉SQL娉ㄥ叆琚鍑伙纻闇瑕佽颁綇鍑犵偣銆傞栧厛锛屼娇鐢ㄦ枃链妗嗘槸涓濂戒富镒忋侻axLength灞炴ф潵阒叉㈢敤鎴疯緭鍏ヨ繃闀跨殑瀛楃︺傚洜涓哄畠浠涓嶅熼暱锛屾墍浠ュ噺灏戜简澶ч噺绮樿创鑴氭湰镄勫彲鑳芥с傚叾娆★纴搴旇ヤ娇鐢ˋSP.NET楠岃瘉鎺т欢𨱒ラ挛瀹氶敊璇镄勬暟鎹(濡傛枃链銆佺┖鍗曞厓镙煎拰鏁板间腑镄勭壒娈婂瓧绗)銆傛ゅ栵纴鎭ㄥ簲璇ラ檺鍒堕敊璇娑堟伅缁椤嚭镄勬彁绀恒傚綋鎹曡幏鍒版暟鎹搴揿纾甯告椂锛屽彧鏄剧ず涓浜涘父瑙勪俊鎭(濡傗沧暟鎹婧愰敊璇钬)锛岃屼笉鏄寮傚父涓镄勪俊鎭銆傛秷鎭灞炴э纴杩椤彲鑳芥毚闇茬郴缁熸敾鍑荤偣銆

镟撮吨瑕佺殑鏄锛屽繀椤诲皬蹇冨湴鍒犻櫎鐗规畩瀛楃︺备緥濡傦纴鎭ㄥ彲浠ョ敤涓や釜鍗曞紩鍙锋浛鎹㈠崟寮曞彿锛岃繖镙峰氨涓崭细涓岙QL璇鍙ョ殑鍒嗛殧绗︽贩娣:

瀛楃︿覆ID=txtID銆傛枃链()銆傛浛鎹(钬溾濄佲溾)锛

褰撶劧锛屽傛灉鏂囨湰纭瀹为渶瑕佸寘钖鍗曞紩鍙凤纴杩欐牱锅氢细甯︽潵鍏朵粬楹荤储銆傛ゅ栵纴涓浜汼QL娉ㄥ叆鏀诲嚮鏄鍙琛岀殑銆傛浛鎹㈠崟寮曞彿鍙浠ラ槻姝㈢敤鎴锋彁鍓岖粨𨱒熷瓧绗︿覆銆备絾鏄锛屽傛灉鍖呭惈鏁板肩殑SQL璇鍙ユ槸锷ㄦ佹瀯阃犵殑锛孲QL娉ㄥ叆鏀诲嚮灏嗗啀娆″彂鎸ヤ綔鐢ㄧ┖銆傝繖涓婕忔礊缁忓父琚蹇借(杩欐槸闱炲父鍗遍橹镄)銆傛洿濂界殑瑙ｅ喅鏂规堟槸浣跨敤鍙傛暟鍖栧懡浠ゆ垨瀛桦偍杩囩▼杩涜岃浆涔夛纴浠ラ槻姝SQL娉ㄥ叆鏀诲嚮銆

鍙︿竴涓濂界殑寤鸿鏄闄愬埗鐢ㄤ簬璁块梾鏁版嵁搴撶殑甯愭埛镄勬潈闄愩傝ュ笎鎴锋棤𨱒冭块梾鍏朵粬鏁版嵁搴撴垨镓ц屾墿灞曞瓨鍌ㄨ繃绋嬨备絾鏄锛岃繖骞朵笉鑳借В鍐砈QL鑴氭湰娉ㄥ叆镄勯梾棰桡纴锲犱负鐢ㄤ簬杩炴帴鏁版嵁搴撶殑杩涚▼鍑犱箮镐绘槸姣斾换浣曞崟涓鐢ㄦ埛闇瑕佹洿澶氱殑𨱒冮檺銆傞氲繃闄愬埗𨱒冮檺锛屽彲浠ラ槻姝㈠垹闄よ〃镄勬敾鍑伙纴浣嗘槸涓嶈兘阒叉㈡敾鍑昏呭伔鐪嫔埆浜虹殑銆备俊鎭銆

绗涓夛纴娉ㄥ皠钖庢敾鍑

绮炬槑镄勭敤鎴峰彲鑳界煡阆撹缮链夊彟涓绉嶆敾鍑籛eb鎺т欢镄勬綔鍦ㄦ柟娉曘傚敖绠″弬鏁板寲锻戒护鍙浠ラ槻姝SQL娉ㄥ叆鏀诲嚮锛屼絾瀹冧滑镞犳硶阒叉㈡敾鍑昏呭悜鍙戦佸洖链嶅姟鍣ㄧ殑鏁版嵁涓娣诲姞鎭舵剰鍊笺傚傛灉涓嶆镆ヨ繖浜涘硷纴鏀诲嚮钥呭彲浠ユ彁浜ゆ湰𨱒ヤ笉瀛桦湪镄勬带鍒跺笺

渚嫔傦纴锅囱炬偍链変竴涓鏄剧ず褰揿墠鐢ㄦ埛璁㈠崟镄勫垪琛ㄣ傜嫛鐚剧殑鏀诲嚮钥呭彲鑳戒细淇濆瓨椤甸溃镄勬湰鍦板坛链锛屼慨鏀笻TML鍐呭逛互钖戝垪琛ㄤ腑娣诲姞镟村氶”鐩锛岀劧钖庨夋嫨涓涓钬滃亣钬濋”鐩銆傚傛灉鏀诲嚮鎴愬姛锛屾敾鍑昏呭皢鑳藉熺湅鍒板叾浠栫敤鎴风殑璁㈠崟锛岃繖鏄剧劧鏄涓涓闂棰樸傚垢杩愮殑鏄锛孉SP.NET浣跨敤涓涓寰埚皯琚鎻愬强镄勫姛鑳解滀簨浠堕獙璇佲濇潵阒叉㈣繖绉嶆敾鍑汇备簨浠堕獙璇佹镆ュ彂阃佸洖链嶅姟鍣ㄧ殑鏁版嵁锛屽苟楠岃瘉鍏跺肩殑钖堟硶镐с备緥濡傦纴濡傛灉鎻愪氦镄勬暟鎹琛ㄦ槑鐢ㄦ埛阃夋嫨浜嗕竴涓镞犳剰涔夌殑鏁版嵁(锲犱负瀹冧笉瀛桦湪浜庢带浠朵腑)锛孉SP.NET灏嗙敓鎴愪竴涓阌栾骞跺仠姝㈠勭悊銆傞氲繃鍦≒age鎸囦护涓灏咵nableEventValidation灞炴ц剧疆涓篺alse锛屽彲浠ョ佺敤浜嬩欢楠岃瘉銆傚綋鎭ㄥ垱寤轰娇鐢ㄥ㈡埛绔鑴氭湰锷ㄦ佹洿鏀瑰唴瀹圭殑椤甸溃镞讹纴鎭ㄩ渶瑕佹墽琛屾ゆラゃ备絾鏄锛屾ゆ椂锛屽湪浣跨敤杩欎簺鍊间箣鍓嶏纴璇锋敞镒忔镆ユ綔鍦ㄧ殑钖庢敞鍏ユ敾鍑汇

MyBatis镐庝箞阒叉SQL娉ㄥ叆锛

鐢#{鍙傛暟}杩涜岄勭紪璇戝氨鍙浠ラ槻姝浜嗭纴鍗冧竾鍒鐢${}杩欑嶆柟寮忔敞鍏ュ弬鏁般

mybatis妗嗘灦浣滀负涓娆惧崐镊锷ㄥ寲镄勬寔涔呭眰妗嗘灦锛屽叾sql璇鍙ラ兘瑕佹垜浠镊宸辨潵镓嫔姩缂栧啓锛岃繖涓镞跺椤綋铹堕渶瑕侀槻姝sql娉ㄥ叆銆傚叾瀹濵ybatis镄剆ql鏄涓涓鍏锋湁钬滆緭鍏+杈揿嚭钬濆姛鑳斤纴绫讳技浜庡嚱鏁扮殑缁撴瀯锛屽备笅锛

selectid,title,author,content

fromblogwhereid=#{id}

杩欓噷锛宲arameterType镙囩ず浜呜緭鍏ョ殑鍙傛暟绫诲瀷锛宺esultType镙囩ず浜呜緭鍑虹殑鍙傛暟绫诲瀷銆傚洖搴斾笂鏂囷纴濡傛灉鎴戜滑𨱍抽槻姝sql娉ㄥ叆锛岀悊镓褰撶劧鍦拌佸湪杈揿叆鍙傛暟涓娄笅锷熷か銆备笂闱浠ｇ爜涓楂树寒閮ㄥ垎鍗宠緭鍏ュ弬鏁板湪sql涓𨰾兼帴镄勯儴鍒嗭纴浼犲叆鍙傛暟钖庯纴镓揿嵃鍑烘墽琛岀殑sql璇鍙ワ纴浼氱湅鍒皊ql鏄杩欐牱镄勶细

selectid,title,author,contentfromblogwhereid=?

涓岖¤緭鍏ヤ粈涔埚弬鏁帮纴镓揿嵃鍑虹殑sql閮芥槸杩欐牱镄勚傝繖鏄锲犱负mybatis钖鐢ㄤ简棰勭紪璇戝姛鑳斤纴鍦╯ql镓ц屽墠锛屼细鍏埚皢涓婇溃镄剆ql鍙戦佺粰鏁版嵁搴撹繘琛岀紪璇戯纴镓ц屾椂锛岀洿鎺ヤ娇鐢ㄧ紪璇戝ソ镄剆ql锛屾浛鎹㈠崰浣岖︹滐纻钬濆氨鍙浠ヤ简銆傚洜涓簊ql娉ㄥ叆鍙鑳藉圭紪璇戣繃绋嬭捣浣灭敤锛屾墍浠ヨ繖镙风殑鏂瑰纺灏卞緢濂藉湴阆垮厤浜唖ql娉ㄥ叆镄勯梾棰樸

缃戠珯濡备綍阒叉SQL娉ㄥ叆锛

阒叉SQL娉ㄥ叆镄勬柟娉曞氨鏄涓嶈佸湪绋嫔簭涓浣跨敤𨰾兼帴镄勬柟寮忕敓鎴怱QL璇鍙

濡:"select*fromTableNamewherecolumnName='"+鍙橀噺+"'"

杩欐牱寰埚规槗琚娉ㄥ叆锛

濡傛灉鍙橀噺="'or1=1--"

杩椤彞sql镄勬浔浠跺皢姘歌繙涓虹湡

濡傛灉閲囩敤𨰾兼帴SQL瑕佹妸鍙橀噺涓镄'锛埚崟寮曞彿锛夋浛鎹涓''锛堜袱涓鍗曞紩鍙凤级

棰勭紪璇戜负浠涔堣兘阒叉sql娉ㄥ叆锛

锲犱负preparedStatement涓鍙浠ヤ笉鍖呭惈鏁版嵁锛屽彧鍖呭惈镎崭綔锛岃繖镙峰氨涓嶉渶瑕佺敤鏁版嵁𨱒ユ嫾鎺SQL銆

java濡备綍阒瞫ql鏀诲嚮锛

java阒睸QL娉ㄥ叆,链绠鍗旷殑锷炴硶鏄𨱒灭粷SQL𨰾兼帴,SQL娉ㄥ叆鏀诲嚮鑳藉缑阃炴槸锲犱负鍦ㄥ师链塖QL璇鍙ヤ腑锷犲叆浜嗘柊镄勯昏緫锛屽傛灉浣跨敤PreparedStatement𨱒ヤ唬镟縎tatement𨱒ユ墽琛孲QL璇鍙ワ纴鍏跺悗鍙鏄杈揿叆鍙傛暟锛孲QL娉ㄥ叆鏀诲嚮镓嬫靛皢镞犳晥锛岃繖鏄锲犱负PreparedStatement涓嶅厑璁稿湪涓嶅悓镄勬彃鍏ユ椂闂存敼鍙樻煡璇㈢殑阃昏緫缁撴瀯,澶ч儴鍒嗙殑SQL娉ㄥ叆宸茬粡鎸′綇浜,鍦╓EB灞傛垜浠鍙浠ヨ繃婊ょ敤鎴风殑杈揿叆𨱒ラ槻姝SQL娉ㄥ叆姣斿傜敤Filter𨱒ヨ繃婊ゅ叏灞镄勮〃鍗曞弬鏁般备笅闱㈠氨涓句笁涓渚嫔瓙𨱒ヨ存槑涓涓嬶细

绗涓绉嶏细

閲囩敤棰勭紪璇戣鍙ラ泦锛屽畠鍐呯疆浜嗗勭悊SQL娉ㄥ叆镄勮兘锷涳纴鍙瑕佷娇鐢ㄥ畠镄剆etString鏂规硶浼犲煎嵆鍙锛屽备笅镓绀猴细

Stringsql="select*fromuserswhereusername=?andpassword=?;PreparedStatementpreState=conn.prepareStatement(sql);preState.setString(1,userName);preState.setString(2,password);ResultSetrs=preState.executeQuery();...

绗浜岀嶏细

閲囩敤姝ｅ垯琛ㄨ揪寮忓皢鍖呭惈链夊崟寮曞彿(')锛屽垎鍙(;)鍜屾敞閲婄﹀彿(--)镄勮鍙ョ粰镟挎崲鎺夋潵阒叉SQL娉ㄥ叆锛屽备笅镓绀猴细

(Stringstr)

{

returnstr.replaceAll(".*(+|(--)+).*","");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

Stringsql="select*fromuserswhereusername='"+userName+"'andpassword='"+password+"'"

Statementsta=conn.createStatement();

ResultSetrs=sta.executeQuery(sql);

绗涓夌嶏细

浣跨敤Hibernate妗嗘灦镄凷QL娉ㄥ叆阒茶寖Hibernate鏄鐩鍓崭娇鐢ㄦ渶澶氱殑ORM妗嗘灦锛屽湪JavaWeb寮鍙戜腑锛屽緢澶氭椂鍊欎笉鐩存帴浣跨敤JDBC锛岃屼娇鐢℉ibernate𨱒ユ彁楂桦紑鍙戞晥鐜囥

鍦℉ibernate涓锛屼粛铹朵笉搴旇ラ氲繃𨰾兼帴HQL镄勬柟寮忥纴钥屽簲浣跨敤鍙傛暟鍖栫殑鏂瑰纺𨱒ラ槻锣侨QL娉ㄥ叆銆傛湁涓ょ嶆柟寮忥纴涓绉崭粛铹舵槸浣跨敤JDBC涓镙风殑鍗犱綅绗︹?钬濓纴浣嗘洿濂界殑鏂瑰纺鏄浣跨敤Hibernate镄勫懡钖嶅弬鏁帮纴渚嫔傛娴嬬敤鎴峰悕鍜屽瘑镰佹槸钖︽ｇ‘锛屼娇鐢℉ibernate鍙浠ュ啓鎴愬备笅锛

StringqueryStr=钬渇romuserwhereusername=:username钬+钬漰assword=:password钬;

Listresult=session.createQuery(queryStr).setString("username",username).setString("password",password).list();

③ asp.net怎么能够更好的防止sql注入式攻击

1、代码的严谨，尤其是与数据库链接的代码，现在一般都是写在web.config中，这在一定的程度上也起到了防攻击。
2、你的数据库模型设计的更加严谨一些，一个是增加可读性，一个是对关键字段的识别。
3、当然，还有其他一些防止sql注入式攻击的手段，这些都是你在平时写代码的时候不自觉的都会加入这些元素的。只是有时候你不知道它的名字而已。

④ asp防止SQL注入函数怎么用

1
根据类型来过滤
比如只能输入数字，那么你就写个函数来判断request.querystring("type")是否为数字。同时还要判断这个数字是否超过了最大上限。
如果是字符串，那么你要过滤掉sql里面敏感的字符，比如单引号，双引号之类。
2过滤sql文
你写的是
select
*
from
username
where
type=
"&
type
要使用户type
为
"1
or
type=admin",你猜猜是什么结果？
----------
防止注入概括起来其实就是
1
类型检查
2
变量范围检查
3
特殊字符过滤
4
sql关键字过滤