最近公司一個項目讓人SQL注入了~爲了臨時先解決這個問題,使攻擊者不再危害數據庫。
初步決定先採用IHttpModule過濾一道請求。
public class HttpModule:IHttpModule
{
public HttpModule()
{
// // TODO: 在此處添加構造函數邏輯 //
} #region IHttpModule 成員 public void Init(System.Web.HttpApplication context) { context.BeginRequest += new EventHandler(ReUrl_BeginRequest); } public void Dispose() { // TODO: 添加 HttpModule.Dispose 實現 } #endregion /// <summary> /// /// </summary> /// <param name="sender">事件的源</param> /// <param name="e">包含事件數據的 EventArgs</param> private void ReUrl_BeginRequest(object sender, EventArgs e) { HttpApplication application = (HttpApplication)sender; HttpContext context = application.Context; string userID = ""; if(context.Session != null) { userID = context.Session["userID"].ToString(); } /* …………以下過濾SQL注入細節省略 */ }
}以前還沒留意到,只知道在Global.asa裏面的Application_Start獲取不到Session.因爲在應用程序啓動時,還沒有加載Session狀態!
以爲在這裏的 BeginRequest 時已經加載了Session!但事實是這裏context.Session 永遠等於null.
上MSDN查了一下事件的執行順序 如下:
在處理該請求時將由 HttpApplication 類執行以下事件。希望擴展 HttpApplication 類的開發人員尤其需要注意這些事件。
1. 對請求進行驗證,將檢查瀏覽器發送的信息,並確定其是否包含潛在惡意標記。有關更多信息,請參見 ValidateRequest 和腳本侵入概述。
2.如果已在 Web.config 文件的 UrlMappingsSection 節中配置了任何 URL,則執行 URL 映射。
3.引發 BeginRequest 事件。
4.引發 AuthenticateRequest 事件。
5.引發 PostAuthenticateRequest 事件。
6.引發 AuthorizeRequest 事件。
7.引發 PostAuthorizeRequest 事件。
8.引發 ResolveRequestCache 事件。
9.引發 PostResolveRequestCache 事件。
10.根據所請求資源的文件擴展名(在應用程序的配置文件中映射),選擇實現 IHttpHandler 的類,對請求進行處理。如果該請求針對從 Page 類派生的對象(頁),並且需要對該頁進行編譯,則 ASP.NET 會在創建該頁的實例之前對其進行編譯。
11.引發 PostMapRequestHandler 事件。
12.引發 AcquireRequestState 事件。
13.引發 PostAcquireRequestState 事件。
14.引發 PreRequestHandlerExecute 事件。
15.爲該請求調用合適的 IHttpHandler 類的 ProcessRequest 方法(或異步版 BeginProcessRequest)。例如,如果該請求針對某頁,則當前的頁實例將處理該請求。
16.引發 PostRequestHandlerExecute 事件。
17.引發 ReleaseRequestState 事件。
18.引發 PostReleaseRequestState 事件。
19.如果定義了 Filter 屬性,則執行響應篩選。
20.引發 UpdateRequestCache 事件。
21.引發 PostUpdateRequestCache 事件。
22.引發 EndRequest 事件。
AcquireRequestState事件,當實際服務請求的處理程序獲得與該請求關聯的狀態信息時發生。在這個事件發生時才能取到Session中是userId信息。BeginRequest事件在AcquireRequestState之前發生,我們把取Session狀態的代碼放在BeginRequest中肯定是取不到的。
因此將以上代碼放在AcquireRequestState事件裏,應該是可行的,改爲如下:
using System;using System.Web;namespace EbzonLibrary{ /// <summary> /// HttpModule 的摘要說明。 /// </summary> public class HttpModule:IHttpModule { public HttpModule() { // // TODO: 在此處添加構造函數邏輯 // } #region IHttpModule 成員 public void Init(System.Web.HttpApplication context) { // Begin_Request時還沒有加載Session狀態// context.BeginRequest += new EventHandler(ReUrl_BeginRequest); context.AcquireRequestState +=new EventHandler(context_AcquireRequestState); } public void Dispose() { // TODO: 添加 HttpModule.Dispose 實現 } #endregion private void context_AcquireRequestState(object sender, EventArgs e) { HttpApplication application = (HttpApplication)sender; HttpContext context = application.Context; string userID= ""; if(context.Session["UserID"] != null) { userID = context.Session["UserID"].ToString(); } /* …… 具體過濾SQL危險字符串 */ } }}這樣測試是可行的!看來還是要留心一下!
另外說明一點 使用IHttpModule接口時 需要在Web.Config中配置如下信息
<system.web> <httpModules> <add type="EbzonLibrary.HttpModule, EbzonLibrary" name="HttpModule"/> </httpModules> <!-- …… --></system.web>