適用於WebApi的SQL註入過濾器_ZenDei技術網路在線

適用於WebApi的SQL註入過濾器

-Advertisement-

開發工具：Visual Studio 2017 C 版本：C 7.1 最有效的防止SQL註入的方式是調用資料庫時使用參數化查詢。但是如果是接手一個舊的WebApi項目，不想改繁多的資料庫訪問層的代碼，應該如何做。我的解決方案是加一個過濾器。先寫過濾方法，上代碼然後是過濾器，先上代碼思路是， ...

開發工具：Visual Studio 2017
C#版本：C#7.1

最有效的防止SQL註入的方式是調用資料庫時使用參數化查詢。
但是如果是接手一個舊的WebApi項目，不想改繁多的資料庫訪問層的代碼，應該如何做。

我的解決方案是加一個過濾器。

先寫過濾方法，上代碼

using System;
using System.Collections.Generic;
using System.Web;

namespace Test
{
    /// <summary>
    /// 防止SQL註入
    /// </summary>
    public class AntiSqlInject
    {
        public static AntiSqlInject Instance = new AntiSqlInject();

        /// <summary>
        /// 初始化過濾方法
        /// </summary>
        static AntiSqlInject()
        {
            SqlKeywordsArray.AddRange(SqlSeparatKeywords.Split('|'));
            SqlKeywordsArray.AddRange(Array.ConvertAll(SqlCommandKeywords.Split('|'), h => h + " "));
            SqlKeywordsArray.AddRange(Array.ConvertAll(SqlCommandKeywords.Split('|'), h => " " + h));
        }

        private const string SqlCommandKeywords = "and|exec|execute|insert|select|delete|update|count|chr|mid|master|" +
                                                  "char|declare|sitename|net user|xp_cmdshell|or|create|drop|table|from|grant|use|group_concat|column_name|" +
                                                  "information_schema.columns|table_schema|union|where|select|delete|update|orderhaving|having|by|count|*|truncate|like";

        private const string SqlSeparatKeywords = "'|;|--|\'|\"|/*|%|#";

        private static readonly List<string> SqlKeywordsArray = new List<string>();

        /// <summary>
        /// 是否安全
        /// </summary>
        /// <param name="input">輸入</param>
        /// <returns>返回</returns>
        public bool IsSafetySql(string input)
        {
            if (string.IsNullOrWhiteSpace(input))
            {
                return true;
            }
            input = HttpUtility.UrlDecode(input).ToLower();

            foreach (var sqlKeyword in SqlKeywordsArray)
            {
                if (input.IndexOf(sqlKeyword, StringComparison.Ordinal) >= 0)
                {
                    return false;
                }
            }
            return true;
        }

        /// <summary>
        /// 返回安全字元串
        /// </summary>
        /// <param name="input">輸入</param>
        /// <returns>返回</returns>
        public string GetSafetySql(string input)
        {
            if (string.IsNullOrEmpty(input))
            {
                return string.Empty;
            }
            if (IsSafetySql(input)) { return input; }
            input = HttpUtility.UrlDecode(input).ToLower();

            foreach (var sqlKeyword in SqlKeywordsArray)
            {
                if (input.IndexOf(sqlKeyword, StringComparison.Ordinal) >= 0)
                {
                    input = input.Replace(sqlKeyword, string.Empty);
                }
            }
            return input;
        }
    }
}

然後是過濾器，先上代碼

using System.Web.Http.Controllers;
using System.Web.Http.Filters;

namespace Test
{
    /// <inheritdoc>
    ///     <cref></cref>
    /// </inheritdoc>
    /// <summary>
    /// SQL註入過濾器
    /// </summary>
    public class AntiSqlInjectFilter : ActionFilterAttribute
    {
        /// <inheritdoc />
        /// <summary>
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnActionExecuting(HttpActionContext filterContext)
        {
            base.OnActionExecuting(filterContext);
            var actionParameters = filterContext.ActionDescriptor.GetParameters();

            var actionArguments = filterContext.ActionArguments;

            foreach (var p in actionParameters)
            {
                var value = filterContext.ActionArguments[p.ParameterName];

                var pType = p.ParameterType;

                if (value == null)
                {
                    continue;
                }
                //如果不是值類型或介面，不需要過濾
                if (!pType.IsClass) continue;

                if (value is string)
                {
                    //對string類型過濾
                    filterContext.ActionArguments[p.ParameterName] = AntiSqlInject.Instance.GetSafetySql(value.ToString());
                }
                else
                {
                    //是一個class，對class的屬性中，string類型的屬性進行過濾
                    var properties = pType.GetProperties();
                    foreach (var pp in properties)
                    {
                        var temp = pp.GetValue(value);
                        if (temp == null)
                        {
                            continue;
                        }
                        pp.SetValue(value, temp is string ? AntiSqlInject.Instance.GetSafetySql(temp.ToString()) : temp);
                    }
                }
            }

        }
    }
}

思路是，加過濾器繼承ActionFilterAttribute，重寫OnActionExecuting方法，獲取入參，對入參中的string類型的所有數據進行過濾。兩種情況，一是參數是string類型，二是類的屬性。過濾器搞定。

過濾器有兩種使用方式，一種是在具體的方法上添加

        [HttpPut,Route("api/editSomething")]
        [AntiSqlInjectFilter]
        public async Task<bool> EditSomeThingAsync([FromBody]SomeThingmodel)
        {
            var response = await SomeThingBusiness.Editsync(model);
            return response;
        }

一種是全局配置，在WebApiConfig.cs文件中的Register方法中加上過濾器

using System.Web.Http;

namespace Test
{
    /// <summary>
    /// WebApi配置
    /// </summary>
    public static class WebApiConfig
    {
        /// <summary>
        /// 註冊配置服務
        /// </summary>
        /// <param name="config"></param>
        public static void Register(HttpConfiguration config)
        {                      
            // Web API 路由
            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
            //全局配置防止SQL註入過濾
            config.Filters.Add(new AntiSqlInjectFilter());
        }
    }
}

測試有效。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

常見 User-Agent 大全（自己在用）

最近爬蟲，爬個貓眼都被封了IP。。分享幾個常見的User-Agent吧，複製粘貼過來的，謝謝原創。明天後天，就這周吧，把貓眼，巨潮資訊，陽光網爬一下，然後再爬幾個有漂亮mm的網站，後面再做一個自己的翻譯器。時間是擠出來的。。 ...
java利用反射機制完成JavaBean的屬性賦值

今天碰到一個場景，就是一個JavaBean，有些屬性的值需要去資料庫其他表中獲取，這樣就需要調用其他dao方法得到這個值，然後再set進去。可是問題來了，如果需要用這種方式賦值的屬性特別多的話，一個一個set進去就需要寫很多set方法，代碼不僅冗餘，而且很麻煩。於是就想通過反射機制去自動set值 ...
Redis多API開發實踐

一、Redis API支持 Python連接redis redis-py安裝方式 Python連接Redis redis連接分片集群 python連接redis sentinel Python String類型使用簡介 Python hash類型使用簡介 Python list類型使用簡介 Pyth ...
爬蟲高玩教你用Python每秒鐘下載一張高清大圖，快不快？

如果爬蟲需要展現速度，我覺得就是去下載圖片吧，原本是想選擇去煎蛋那裡下載圖片的，那裡的美女圖片都是高質量的，我稿子都是差不多寫好了的，無奈今天重新看下，妹子圖的入口給關了。至於為什麼關呢，大家可以去看看XXX日報的關停原因吧或者百度下，這裡就不多說了，這次我選擇了去下載無版權高清圖片，因為做自媒體 ...
.NET Core開發日誌——HttpClientFactory

當需要向某特定URL地址發送HTTP請求並得到相應響應時，通常會用到HttpClient類。該類包含了眾多有用的方法，可以滿足絕大多數的需求。但是如果對其使用不當時，可能會出現意想不到的事情。博客園官方團隊就遇上過這樣的 "問題" ，國外博主也記錄過類似的情況， "YOU'RE USING HTT ...
c#實戰開發：以太坊私鏈搭建（一）

1.第一步環境搭建運行環境:window 客戶端版本：Go語言geth 下載地址https://ethereum.github.io/go-ethereum/downloads/ 以太坊API中文文檔:http://web3.tryblockchain.org/Web3.js-api-refren ...
Nhibernate學習的第一天

書本：https://www.tutorialspoint.com/nhibernate/index.htm 第一天學習內容概念 Nhibernate是一個ORM框架。 ORM框架：將聲明的類映射到資料庫中。可以不使用SQL語言，減少錯誤。 Demo 1.創建空控制台應用起名Nhibernate ...
ASP.NET Core的Data Protect（數據保護）的學習和應用

轉載請註入出處： https://home.cnblogs.com/u/zhiyong-ITNote/ dotnet core中提供了一個新的身份驗證框架Identity，它不同於dot net下的身份驗證。在這個框架裡面，有一個生成token的功能，也就是我們常說的令牌，令牌的作用有哪些？Toke ...