asp.net+oracle数据库!防止sql流入攻击
日期:2014-05-17 浏览次数:20368 次
asp.net+oracle数据库!防止sql注入攻击
由于是对老系统进行安全升级!就不对所有录入信息进行过滤和检查了,在Global.asax中加了“void Application_BeginRequest(object sender, EventArgs e)”事件,来对Post和Get的请求进行验证。
//构造SQL的注入关键字符
string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };
我想问的是这些关键字符应该是对 sqlserver来讲的吧!如果是oracle数据库,有什么不同么?或者在oracle数据库应用中,应该过滤那些关键字呢!
------解决方案--------------------
http://ndp-friends.blog.163.com/blog/static/52851427201102081157756/
------解决方案--------------------
sql server 和 oracle 都是基于t-sql语法的数据库,大部分关键字都是通用的,当然,你也可以针对oracle添加一些有效关键字
由于是对老系统进行安全升级!就不对所有录入信息进行过滤和检查了,在Global.asax中加了“void Application_BeginRequest(object sender, EventArgs e)”事件,来对Post和Get的请求进行验证。
//构造SQL的注入关键字符
string[] strChar = { "and", "exec", "insert", "select", "update", "delete", "count", "from", "drop", "asc", "or", "char", "%", ";", ":", "\'", "\"", "-", "chr", "master", "mid", "truncate", "declare", "char", "SiteName", "/add", "xp_cmdshell", "net user", "net localgroup administrators", "exec master.dbo.xp_cmdshell" };
我想问的是这些关键字符应该是对 sqlserver来讲的吧!如果是oracle数据库,有什么不同么?或者在oracle数据库应用中,应该过滤那些关键字呢!
oracle
asp.net
安全?
sql注入?sqlserver
------解决方案--------------------
http://ndp-friends.blog.163.com/blog/static/52851427201102081157756/
------解决方案--------------------
sql server 和 oracle 都是基于t-sql语法的数据库,大部分关键字都是通用的,当然,你也可以针对oracle添加一些有效关键字
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
