游乐游手机版
首页/数据库/文章详情

NET Core Web API 全局拦截SQL注入关键词

时间:2026-06-28 06:45
单纯依靠全局关键词拦截来防范SQL注入攻击,这条路并不可行——不仅可靠性不足,还容易误伤正常的业务数据。真正有效的做法,是将参数化SQL作为默认的开发规范;拦截器只能充当临时补丁,而且必须配合解码、白名单、日志记录等操作才能发挥一定作用。下面具体剖析几个容易踩坑的细节。 在OnActionExecu

单纯依靠全局关键词拦截来防范SQL注入攻击,这条路并不可行——不仅可靠性不足,还容易误伤正常的业务数据。真正有效的做法,是将参数化SQL作为默认的开发规范;拦截器只能充当临时补丁,而且必须配合解码、白名单、日志记录等操作才能发挥一定作用。下面具体剖析几个容易踩坑的细节。

在OnActionExecuting中读取参数时避免多次触发InputStream

直接遍历HttpContext.Request.Form或调用Request.ReadFormAsync()会消耗原始请求流,从而导致后续Controller无法接收数据(特别是JSON Body)。这是.NET Core中一个常见的静默失败点,开发者往往需要排查很久才能发现。

  • 优先从context.ActionArguments获取已经绑定的参数值,避免解析原始请求流
  • 如果必须读取原始Query或Body:对于Query,使用context.HttpContext.Request.QueryString.Value进行字符串解析;对于POST JSON,先调用context.HttpContext.Request.EnableBuffering(),再将Position重置为0
  • 跳过ASP.NET的内置字段:__RequestVerificationToken__viewstate(大小写不敏感)——它们虽然包含'--,但属于合法内容

在进行关键词检测前必须先解码再匹配

攻击者常用URL编码绕过,比如%27(单引号)、%6f%72(or),如果不进行解码就等于直接放行。这个细节容易被忽视,但后果非常严重。

  • 对每个参数值执行WebUtility.UrlDecode()以及WebUtility.HtmlDecode()
  • 使用正则表达式b(select|union|drop|exec|xp_cmdshell)b并添加词边界,防止误拦截“Select”这样的昵称
  • 关键词列表必须包含注释符号:--/*#,否则admin'--这样的注入可以直接逃逸

哪些地方过滤器根本无法拦截?

当用户输入出现在SQL语法结构位置(而非值位置)时,字符串过滤完全无效。这里列出几个典型场景,每个都需要单独处理。

  • ORDER BY :无法加引号,参数化也失效 → 必须使用白名单校验,例如new[] { "name", "created_at" }.Contains(input)
  • IN ():多个值需要拼接 → 采用string.Join(",", userInputs.Select(x => $"'{SqlEscape(x)}'))手动转义(仅适用于极简场景)
  • 表名/列名动态拼接:SELECT * FROM {tableName} → 过滤器完全无法处理,只能依赖严格的白名单或禁止动态构造

真正关键的不是写了多少关键词,而是你是否确认:所有拼接SQL的地方都已迁移到SqlParameter或EF Core的FromSqlRaw(..., params);尚未迁移的接口,是否单独配置了日志、告警和人工复核?只要漏掉一个string.Format拼接,整个过滤器就形同虚设。简而言之:不要把赌注押在过滤器上,将参数化作为默认习惯才是根本之道。

来源:https://www.php.cn/faq/2684176.html
上一篇SQL LEFT JOIN查询左表独有记录的方法 下一篇SQL中通过LEN或LENGTH函数过滤长度异常脏数据的方法
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
金仓数据库逻辑备份实战:全库导出与模式替换全流程
数据库 · 2026-07-03

金仓数据库逻辑备份实战:全库导出与模式替换全流程

在长期的运维实践中,我越来越体会到,备份就像一份保险——平时看似无用,但关键时刻却是唯一的救命稻草。逻辑备份看似简单,可真正执行恢复时,各种陷阱接连浮现:表名大小写不一致、Schema 未正确切换、Owner 属性未同步修改……任何一个环节处理不当,最终恢复出的数据库就会与预期相去甚远。 本文将深入

金仓数据库sys_rman物理备份全流程演练与误覆盖恢复
数据库 · 2026-07-03

金仓数据库sys_rman物理备份全流程演练与误覆盖恢复

干运维这行,逻辑备份和物理备份我都接触过,但说句实在话,真正能在生产环境里扛住事儿的,还得是物理备份。逻辑备份导出的是 SQL 语句,数据量一大,那速度慢得让人抓狂,而且最关键的是,它没法做时间点恢复。物理备份不一样,它直接拷贝数据文件,再配上 WAL 归档日志,想恢复到过去哪一秒都行,这是它最硬核

Windows下将MySQL注册为系统自启服务教程
数据库 · 2026-07-03

Windows下将MySQL注册为系统自启服务教程

先说一个关键前提:务必以管理员身份运行终端,否则 mysqld --install 这条命令几乎不可能成功。问题不在于命令写错,而是 Windows 系统的用户账户控制(UAC)机制会在中途拦截——在普通 CMD 或 PowerShell 窗口执行这条命令,要么直接提示 Access is deni

Mac版Navicat中快速对比两个数据库的表结构异同
数据库 · 2026-07-03

Mac版Navicat中快速对比两个数据库的表结构异同

直接说结论:Mac 版 Navicat 和 Windows 版在表结构比对逻辑上完全一致。但默认配置下,它确实无法承受“全库一键比对上万张表”的压力。要想避免卡死、内存溢出、进度条永远停在 0%,你必须手动将表分批处理,或者利用前缀过滤来控制扫描范围。 为什么 Mac 上点击「结构同步」后界面会卡住

MySQL中UNION操作推荐用UNION ALL的原因
数据库 · 2026-07-03

MySQL中UNION操作推荐用UNION ALL的原因

MySQL中UNION与UNION ALL性能对比:别再被“保险”迷惑,差距远超预期 先给出核心结论:UNION ALL 的性能通常比 UNION 高出不止一个数量级。原因在于,UNION 在合并结果集后会自动触发去重操作,这往往伴随着隐式排序,进而产生临时表和文件排序。而 UNION ALL 则直