推薦：解讀asp.net中的觀察者模式
在asp.net中實現(xiàn)觀察者模式？難道asp.net中的觀察者模式有什么特別么？嗯，基于Http協(xié)議的Application難免有些健忘，我是這樣實現(xiàn)的，不知道有沒有更好的辦法？ 先談?wù)勑枨蟀桑�以免陷�?/p>

一、什么是SQL注入式攻擊?

所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造(或者影響)動態(tài)SQL命令，或作為存儲過程的輸入?yún)��?shù)，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：

⑴ 某個ASP.NET Web應(yīng)用有一個登錄頁面，這個登錄頁面控制著用戶是否有權(quán)訪問應(yīng)用，它要求用戶輸入一個名稱和密碼。

⑵ 登錄頁面中輸入的內(nèi)容將直接用來構(gòu)造動態(tài)的SQL命令，或者直接用作存儲過程的參數(shù)。下面是ASP.NET應(yīng)用構(gòu)造查詢的一個例子：

System.Text.StringBuilder query = new System.Text.StringBuilder(
"SELECT * from Users WHERE login = '")
.Append(txtLogin.Text).Append("' AND password='")
.Append(txtPassword.Text).Append("'");

⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內(nèi)容。

⑷ 用戶輸入的內(nèi)容提交給服務(wù)器之后，服務(wù)器運行上面的ASP.NET代碼構(gòu)造出查詢用戶的SQL命令，但由于攻擊者輸入的內(nèi)容非常特殊，所以最后得到的SQL命令變成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。

⑸ 服務(wù)器執(zhí)行查詢或存儲過程，將用戶輸入的身份信息和服務(wù)器中保存的身份信息進行對比。

⑹ 由于SQL命令實際上已被注入式攻擊修改，已經(jīng)不能真正驗證用戶身份，所以系統(tǒng)會錯誤地授權(quán)給攻擊者。

如果攻擊者知道應(yīng)用會將表單中輸入的內(nèi)容直接用于驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字符串篡改查詢改變其原來的功能，欺騙系統(tǒng)授予訪問權(quán)限。

系統(tǒng)環(huán)境不同，攻擊者可能造成的損害也不同，這主要由應(yīng)用訪問數(shù)據(jù)庫的安全權(quán)限決定。如果用戶的帳戶具有管理員或其他比較高級的權(quán)限，攻擊者就可能對數(shù)據(jù)庫的表執(zhí)行各種他想要做的操作，包括添加、刪除或更新數(shù)據(jù)，甚至可能直接刪除表。

二、如何防范?

好在要防止ASP.NET應(yīng)用被SQL注入式攻擊闖入并不是一件特別困難的事情，只要在利用表單輸入的內(nèi)容構(gòu)造SQL命令之前，把所有輸入內(nèi)容過濾一番就可以了。過濾輸入內(nèi)容可以按多種方式進行。

分享：解讀Asp.net教程:設(shè)計IP地址屏蔽功能
出于安全考慮，幾乎每個動態(tài)網(wǎng)站都具備IP地址屏蔽功能，而網(wǎng)上流傳的很多關(guān)于該功能的教程大都采用字符串保存和驗證IP地址，我認(rèn)為這是不太科學(xué)的，我試圖找到最佳的設(shè)計方案。 “I