C#加密路径里的参数,保护参数隐私安全!

写过论坛的朋友,特别是把路径放到数据里,然后在服务器端读取数据库里的字段,把路径信息动态的显示在客户端.

如过直接以
http://xxxx.xxxx.net/ShowForum.aspx?id=2&rootID=0&userName=myUserName

就会发现,直接把参数信息显示在Client端了.别有用心的人,可能会对你的服务器进行攻击

如果在Client这样显示.
http://xxxx.xxxx.net/ShowForum.aspx?bdefEdGa=DEdscFDW&aHJdIDesk=esOddEsA&dsERsdwS=SdEEsaDY

下面我把这样实现的C#.net代码贴出,如大家要转载,请保留本人的版权。

/*
*Description:加密路径信息后,输出到Client端
*Auther:天很蓝_崇崇
*Email:yc_[email protected]
*Dates:2005-01-18
*Copyright:ChongChong2008 YiChang HuBei China
*/

using System;
using System.Collections;
using System.ComponentModel;
using System.Drawing;
using System.Web;
using System.Web.SessionState;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.HtmlControls;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Data.SqlClient;
using System.Configuration;

//导入自定义的类库
using _3Layer.DataLayer.DataCommon;
using _3Layer.DataLayer.DataCommon.DataAccess;
using Library.ClassLibrary.Crypt.DES;

namespace CHONGCHONG.XML
public class RenderingXML : System.Web.UI.Page
{
///

1<summary>   
2/// 从数据库预生成XML数据源   
3/// </summary>

private void PreRenderXML()
{
string strSQL = "select语句略去........................;
myDataLayer.Open();

RenderingXml="

\r\n";
RenderingXml+="

 1<xml>\r\n";   
 2try   
 3{   
 4System.Data.SqlClient.SqlDataReader myDR = (SqlDataReader)myDataLayer.ExecuteReader( strSQL );   
 5while(myDR.Read())   
 6{   
 7RenderingXml+="<treenode id='"+myDR["BoardID"]+"'>\r\n";   
 8RenderingXml+="<nodetext>"+myDR["BoardName"]+"</nodetext>\r\n";   
 9RenderingXml+="<title>"+myDR["Title"]+"</title>\r\n";   
10RenderingXml+="<nodeurl>"+EncodeHTML( EncodeParameter( myDR["Link"].ToString() ) )+"</nodeurl>\r\n";   
11RenderingXml+="<child>"+myDR["children"]+"</child>\r\n";   
12RenderingXml+="<target>"+myDR["Target"]+"</target>\r\n";   
13RenderingXml+="</treenode>\r\n";   
14}   
15}   
16catch(System.Data.SqlClient.SqlException ee)   
17{   
18return ;   
19}   
20finally   
21{   
22myDataLayer.Close() ;   
23}   
24RenderingXml+="</xml>

";
byte[] bytResult = Encoding.Default.GetBytes( RenderingXml ) ;
Response.ContentType = "text/xml" ;
Response.BinaryWrite( bytResult ) ;
}

///

1<summary>   
2/// Description:加密路径参数   
3/// </summary>

///

1<param name="sourParameter"/>

///

1<returns></returns>

private string EncodeParameter( string sourParameter )
{
string startString = String.Empty ;
string endString = String.Empty ;
StringBuilder destParameter = new StringBuilder() ;

if( sourParameter == null || sourParameter.Equals("") )
{
destParameter.Append( String.Empty ).ToString() ;
}
else
{
//开始分析路径里的?字符
if( sourParameter.IndexOf("?")<0 )
{
destParameter.Append( sourParameter ).ToString() ;
}
else
{
//以?号分割路径
string[] paramPath = sourParameter.Split( new char[]{'?'} ) ;
startString = paramPath[0].ToString() ;
endString = paramPath[1].ToString() ;

//开始分析路径里的&字符
if(sourParameter.IndexOf("&")<0)
{
//只有一个参数,用=号分割,直接把NameValue进行Des加密
string[] paramNameValue = endString.Split( new char[]{'='} ) ;
string paramName = myDES.Encrypt( paramNameValue[0].ToString() ,myDESKey ) ;
string paramValue = myDES.Encrypt( paramNameValue[1].ToString() ,myDESKey ) ;

destParameter.Append( startString ).Append("?").Append( paramName ).Append("=").Append( paramValue ) ;
}
else
{
//有多个参数,以&号分割?号后面的路径
string[] paramJoin = endString.Split( new char[]{'&'} ) ;
destParameter.Append( startString ).Append("?").Append( EncoderNameValue( paramJoin ) ) .ToString() ;
}
}
}
return destParameter.ToString() ;

}

///

1<summary>   
2/// Description:加密路径里的NameValue参数   
3/// </summary>

///

1<param name="sourNameValue"/>

///

1<returns></returns>

private string EncoderNameValue( string[] sourNameValue )
{
string[] paramNameValue ;
string paramName ;
string paramValue ;
StringBuilder sb = new StringBuilder() ;

for( int i = 0 ; i <= sourNameValue.Length-1 ; i++ )
{
//以=号分割每个NameValue参数
paramNameValue = sourNameValue[i].Split( new char[]{'='} ) ;

//开始对NameValue加密
paramName = myDES.Encrypt( paramNameValue[0].ToString() ,myDESKey ) ;
paramValue = myDES.Encrypt( paramNameValue[1].ToString() ,myDESKey ) ;

//存储加密后的路径字符串
sb.Append( paramName ).Append("=").Append( paramValue ) ;

//是否最后一个NameValue参数,若不是在路基里添加&参数连接符
if( i<sourNameValue.Length )
{
sb.Append("&") ;
}
}

return sb.ToString() ;

}

}

Published At
Categories with Web编程
Tagged with
comments powered by Disqus