C#でSQLインジェクションを防ぐにはどうすればよいですか?-C#.Net チュートリアル-php.cn

ホームページ

バックエンド開発

C#.Net チュートリアル

C#でSQLインジェクションを防ぐにはどうすればよいですか?

青灯夜游

May 10, 2019 pm 05:24 PM

c# SQLインジェクションを防ぐ

Web サイトのセキュリティは、すべての Web サイト開発者および運営者にとって最も懸念される問題です。ひとたびWebサイトに脆弱性が存在すると、多大な損失が生じることは避けられません。 Web サイトのセキュリティを向上させるには、まず Web サイトをインジェクションから保護する必要があります。

C#でSQLインジェクションを防ぐにはどうすればよいですか?

C# で SQL インジェクションを防ぐいくつかの方法を紹介します。

方法 1:

Web.config ファイルの下に次のタグを追加します:

< appSettings>
　　< add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
< /appSettings>

ログイン後にコピー

キーは < saveParameters> で、その後の値は "OrderId-int32" などです。ここで、"-" は先頭はパラメータを示し、名前は OrderId などで、後ろの int32 はデータ型を示します。

方法 2:

Global.asax に次の段落を追加します:

protected void Application_BeginRequest（Object sender, EventArgs e）{
　　String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString（）。Split（&#39;,&#39;）；
　　for（int i= 0 ;i < safeParameters.Length; i++）{
　　String parameterName = safeParameters[i].Split（&#39;-&#39;）[0];
　　String parameterType = safeParameters[i].Split（&#39;-&#39;）[1];
　　isValidParameter（parameterName, parameterType）；
　　}
　　}
　　public void isValidParameter（string parameterName, string parameterType）{
　　string parameterValue = Request.QueryString[parameterName];
　　if（parameterValue == null） return;
　　if（parameterType.Equals（"int32"））{
　　if（！parameterCheck.isInt（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"USzip"））{
　　if（！parameterCheck.isUSZip（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　else if （parameterType.Equals（"email"））{
　　if（！parameterCheck.isEmail（parameterValue）） Response.Redirect（"parameterError.aspx"）；
　　}
　　}

ログイン後にコピー

方法 3:

文字列フィルタリングクラスを使用する

　/**//// < summary>
　　/// 处理用户提交的请求
　　/// < /summary>
　　public static void StartProcessRequest（）
　　{
　　// System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;dddd&#39;）；< /script>"）；
　　try
　　{
　　string getkeys = "";　　//string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString（）；
　　if （System.Web.HttpContext.Current.Request.QueryString != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.QueryString.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.QueryString[getkeys],0））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　if （System.Web.HttpContext.Current.Request.Form != null）
　　{
　　for（int i=0;i< System.Web.HttpContext.Current.Request.Form.Count;i++）　　{
　　getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];　　if （！ProcessSqlStr（System.Web.HttpContext.Current.Request.Form[getkeys],1））
　　{
　　//System.Web.HttpContext.Current.Response.Redirect （sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true"）；
　　System.Web.HttpContext.Current.Response.Write（"< script>alert（&#39;请勿非法提交！&#39;）；history.back（）；< /script>"）；
　　System.Web.HttpContext.Current.Response.End（）；
　　}
　　}
　　}
　　}
　　catch
　　{
　　// 错误处理： 处理用户提交信息！
　　}
　　}
　　/**//// < summary>
　　/// 分析用户请求是否正常
　　/// < /summary>
　　/// < param name="Str">传入用户提交数据< /param>
　　/// < returns>返回是否含有SQL注入式攻击代码< /returns>
　　private static bool ProcessSqlStr（string Str,int type）
　　{
　　string SqlStr;　　if（type == 1）
　　SqlStr = "exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";　　else
　　SqlStr = "&#39;|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare";　　bool ReturnValue = true;　　try
　　{
　　if （Str != ""）
　　{
　　string[] anySqlStr = SqlStr.Split（&#39;|&#39;）；
　　foreach （string ss in anySqlStr）
　　{
　　if （Str.IndexOf（ss）>=0）
　　{
　　ReturnValue = false;　　}
　　}
　　}
　　}
　　catch
　　{
　　ReturnValue = false;　　}
　　return ReturnValue;　　}
　　#endregion　　}
　　}

ログイン後にコピー

推奨される関連ビデオチュートリアル: "C#Tutorial"

以上がC#でSQLインジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

ホットトピック

Gmailメールのログイン入り口はどこですか？

7652

CakePHP チュートリアル

1393

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

NYTミニクロスワードの回答

110

Related knowledge

C# を使用した Active Directory Sep 03, 2024 pm 03:33 PM

C# を使用した Active Directory のガイド。ここでは、Active Directory の概要と、C# での動作方法について、構文と例とともに説明します。

C# シリアル化 Sep 03, 2024 pm 03:30 PM

C# シリアル化のガイド。ここでは、C# シリアル化オブジェクトの導入、手順、作業、例についてそれぞれ説明します。

C# の乱数ジェネレーター Sep 03, 2024 pm 03:34 PM

C# の乱数ジェネレーターのガイド。ここでは、乱数ジェネレーターの仕組み、擬似乱数の概念、安全な数値について説明します。

C# データグリッドビュー Sep 03, 2024 pm 03:32 PM

C# データグリッドビューのガイド。ここでは、SQL データベースまたは Excel ファイルからデータグリッドビューをロードおよびエクスポートする方法の例について説明します。

C# のパターン Sep 03, 2024 pm 03:33 PM

C# のパターンのガイド。ここでは、C# のパターンの概要と上位 3 種類について、その例とコード実装とともに説明します。

C# の階乗 Sep 03, 2024 pm 03:34 PM

C# の Factorial のガイド。ここでは、C# での階乗の概要について、さまざまな例とコード実装とともに説明します。

C# の素数 Sep 03, 2024 pm 03:35 PM

C# の素数ガイド。ここでは、C# における素数の導入と例を、コードの実装とともに説明します。

マルチスレッドと非同期C＃の違い Apr 03, 2025 pm 02:57 PM

マルチスレッドと非同期の違いは、マルチスレッドが複数のスレッドを同時に実行し、現在のスレッドをブロックせずに非同期に操作を実行することです。マルチスレッドは計算集約型タスクに使用されますが、非同期はユーザーインタラクションに使用されます。マルチスレッドの利点は、コンピューティングのパフォーマンスを改善することですが、非同期の利点はUIスレッドをブロックしないことです。マルチスレッドまたは非同期を選択することは、タスクの性質に依存します。計算集約型タスクマルチスレッド、外部リソースと相互作用し、UIの応答性を非同期に使用する必要があるタスクを使用します。

See all articles

C#でSQLインジェクションを防ぐにはどうすればよいですか?

ホットAIツール

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

Video Face Swap

人気の記事

ホットツール

メモ帳++7.3.1

SublimeText3 中国語版

ゼンドスタジオ 13.0.1

ドリームウィーバー CS6

SublimeText3 Mac版

ホットトピック