CodeMan系列教程------防止注入函数

using System;
using System.Text.RegularExpressions;
using System.Web;

namespace FSqlKeyWord
...{
    /**//// <SUMMARY>

    /// SqlKey 的摘要说明。

    /// </SUMMARY>

    public class SqlKey
    ...{
        private HttpRequest request;
        private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
        private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";
        public SqlKey(System.Web.HttpRequest _request)
        ...{
            //

            // TODO: 在此处添加构造函数逻辑

            //

            this.request = _request;
        }

        /**//// <SUMMARY>

        /// 只读属性 SQL关键字

        /// </SUMMARY>

        public static string KeyWord
        ...{
            get
            ...{
                return StrKeyWord;
            }
        }
        /**//// <SUMMARY>

        /// 只读属性过滤特殊字符

        /// </SUMMARY>

        public static string RegexString
        ...{
            get
            ...{
                return StrRegex;
            }
        }
        /**//// <SUMMARY>

        /// 检查URL参数中是否带有SQL注入可能关键字。

        /// </SUMMARY>

        /// <PARAM name="_request">当前HttpRequest对象</PARAM>

        /// <RETURNS>存在SQL注入关键字true存在，false不存在</RETURNS>

        public bool CheckRequestQuery()
        ...{
            if (request.QueryString.Count != 0)
            ...{
                //若URL中参数存在，逐个比较参数。

                for (int i = 0; i < request.QueryString.Count; i++)
                ...{
                    // 检查参数值是否合法。

                    if (CheckKeyWord(request.QueryString<I>.ToString()))
                    ...{
                        return true;
                    }
                }
            }
            return false;
        }

        /**//// <SUMMARY>

        /// 检查提交表单中是否存在SQL注入可能关键字

        /// </SUMMARY>

        /// <PARAM name="_request">当前HttpRequest对象</PARAM>

        /// <RETURNS>存在SQL注入关键字true存在，false不存在</RETURNS>

        public bool CheckRequestForm()
        ...{
            if (request.Form.Count > 0)
            ...{
                //获取提交的表单项不为0 逐个比较参数

                for (int i = 0; i < request.Form.Count; i++)
                ...{
                    //检查参数值是否合法

                    if (CheckKeyWord(request.Form<I>))
                    ...{
                        //存在SQL关键字

                        return true;

                    }
                }
            }
            return false;
        }

        /**//// <SUMMARY>

        /// 静态方法，检查_sword是否包涵SQL关键字

        /// </SUMMARY>

        /// <PARAM name="_sWord">被检查的字符串</PARAM>

        /// <RETURNS>存在SQL关键字返回true，不存在返回false</RETURNS>

        public static bool CheckKeyWord(string _sWord)
        ...{
            if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))
                return true;
            return false;
        }

        /**//// <SUMMARY>

        /// 反SQL注入:返回1无注入信息，否则返回错误处理

        /// </SUMMARY>

        /// <RETURNS>返回1无注入信息，否则返回错误处理</RETURNS>

        public string CheckMessage()
        ...{
            string msg = "1";
            if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()

            ...{
                msg = "<SPAN style="FONT-SIZE: 24px">非法操作！
";
                msg += "操作IP：" + request.ServerVariables["REMOTE_ADDR"] + "
";
                msg += "操作时间：" + DateTime.Now + "
";
                msg += "页面：" + request.ServerVariables["URL"].ToLower() + "
";
                msg += "<A onclick=history.back() href="#">返回上一页</A></SPAN>";

            }
            return msg.ToString();
        }
    }