51Testing软件测试论坛

标题: .NET 环境下使用 C# 防止SQL注入式攻击 [打印本页]

作者: 默默巫 时间: 2009-8-31 16:00
标题: .NET 环境下使用 C# 防止SQL注入式攻击
在.NET环境下使用C#防止SQL注入式攻击，我们的解决方式是：

1、首先在UI录入时，要控制数据的类型和长度、防止SQL注入式攻击，系统提供检测注入式攻击的函数，一旦检测出注入式攻击，该数据即不能提交；

2、业务逻辑层控制，通过在方法内部将SQL关键字用一定的方法屏蔽掉，然后检查数据长度，保证提交SQL时，不会有SQL数据库注入式攻击代码；但是这样处理后，要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符的函数和还原字符的函数。

3、在数据访问层，绝大多数采用存储过程访问数据，调用时以存储过程参数的方式访问，也会很好的防止注入式攻击。

作者: meng0819 时间: 2009-11-23 14:34
说的比较简单，比较有实际意义的是：
1.在UI层使用正则表达式对输入内容进行限制。
2. 使用参数，将注入代码作为参数传给后台程序！

作者: yi520oo 时间: 2011-6-25 11:33
NET 环境下使用 C# 防止SQL注入式攻击

网上一大把这样的代码？你可以去找找看啊！！！

作者: vgygy 时间: 2012-5-16 13:39
我又回复了

作者: 爱过错过 时间: 2012-8-7 13:13
的确好帖子，推荐加精华

作者: 推一把客户DK 时间: 2013-5-12 13:24
谢谢楼主，好久没看到这么好的贴了

作者: 淡定的很 时间: 2014-3-8 15:49
神马 o(∩_∩)o 哈哈

作者: SunnyLan 时间: 2016-6-30 17:29
楼主百度一大把

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)