简单sql盲注的后台解决

最新推荐文章于 2024-01-23 14:59:48 发布
最新推荐文章于 2024-01-23 14:59:48 发布
阅读量1.9w 收藏 2
点赞数 4
分类专栏: java Jsp+Tomcat database html 文章标签: sql string import class java null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthurzil/article/details/6863213
版权
Jsp+Tomcat 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
java
7 篇文章 0 订阅
订阅专栏
html
3 篇文章 0 订阅
订阅专栏

算是提供思路吧,基本的就是对特殊字符进行替换,究其根本的解决之道,还有就是前台也可以进行特殊字符的替换,算是双管齐下吧,还有很多的解决之道,在此不做过多描述,该演示代码中提供了JS的前台替换语句及后台的JAVA代码替换,都是通过正则实现的,如果反复使用replace().replace()这种连续方式可以想像程序的运行时间多么可观,虽然时间不会太久,但确实让人无法忍受。

import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class test {

 /**
  * @param args
  */
 public static void main(String[] args) {
  // TODO Auto-generated method stub
  //js代码的替换
  // var strTemp="^&h\\/!@#$%^&*()+|/jgfj&%fgd''$#$@!)(}|";
  // strTemp.replace(/[$ <> & % ' ( ) + - = " ; / ]/g, "")
  
  //一种解决SQL盲注的后台过虑,其方式就是将可能出现的非法字符进行规制
  //java代码替换特殊字符
  String str="^&h\\/!@#$%^&*()+|/jgfj&%fgd''$#$@!)(}|";
  if(str!=null){
        // Pattern p = Pattern.compile("\\s*|| | ");
         //System.out.println("before:" + str);
        // Matcher m = p.matcher(str);
         String result = str.replaceAll("(^|\\&)|(\\|)|(\\;)|(\\$)|(\\%)|(\\@)|(\\')|(\\\")|(\\>)|(\\<)|(\\))|(\\()|(\\+)|(\\,)|(\\\\)|(\\#|$)","");
         System.out.println("result:" + result);
        //输出结果:result:^h/!^*/jgfjfgd!}
  }
  
 }

}

arthurzil
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
SQL注入之盲注(Boolean类型)
破博客
09-21 1712
sql盲注适用于页面不直接返回数据,而是返回是或否,或者更简单的,正常显示或非正常显示,这时就需要来使用sql语句形成判断性返回值,例如正常返回或报错。 以sqli-labs Less5举例 访问http://localhost/sqli-labs/Less-5/?id=1后页面只显示了You are in……而没有像之前那样显示用户名等信息,尝试在URL后加单引号显示错误,有字符串注入的空间,将...
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 2970
SQL 注入漏洞原理以及修复方法
sql盲注后台解决
weixin_44721672的博客
04-07 813
基本的就是对特殊字符进行替换,究其根本的解决之道,还有就是前台也可以进行特殊字符的替换,算是双管齐下吧,还有很多的解决之道,在此不做过多描述,该演示代码中提供了JS的前台替换语句及后台JAVA代码替换,都是通过正则实现的,如果反复使用replace().replace()这种连续方式可以想像程序的运行时间多么可观,虽然时间不会太久,但确实让人无法忍受。 import java.util.rege...
Web渗透_SQL盲注
分享学习网络的点点滴滴
08-09 319
不显示数据库内建的报错信息内建的报错信息帮助开发人员发现和修复问题报错信息提供关于系统的大量有用信息当程序员隐蔽了数据库内建报错信息,替换为通用的报错提示,sql注入将依据报错信息判断注入语句的执行结果,即盲注思路:既然无法基于报错信息判断结果,那就基于逻辑真假的不同结果来判断如果是真的话,会返回参数,如果是假的不会报错,逻辑语句被执行,证明有sql注入漏洞。...
过滤器解决SQL盲注安全问题
runwuwushengxiyu的博客
07-25 64
过滤器解决SQL盲注安全问题
利用过滤器解决sql盲注的问题
u010574271的博客
11-05 598
前言 在项目中,很多时候如使用MyBatis等我们用sql拼接或者直接使用sql语句操作数据库时,就有可能遇到sql盲注的问题 例如,如果我们的sql语句为select * from menu where name= #{name,jdbc=varchar} 此时,如果我们传过来的name参数为‘’ or 1=1,此时就可以无视条件查询所有的menu 通过在参数中插入非法的字符实现对数据库表和条目进行非法的查看、修改或删除操作,这就是SQL盲注 解决办法 我们可以通过Filter来过滤非法的参数,从而实现阻
SQL盲注解决方案
Donald_Draper的专栏
10-27 3853
] 上面这篇文章用的是Mybaits的防注入策略,下面我们看一下,如何在进入mybatis之前,就提前处理, 如何处理呢? HttpServletRequest在获取参数时会调用两个方法,getParameter(String name) 和 getParameterValues(String name),我是不是可以继承HttpServletRequest,重写这两个方法,来解决SQL盲注呢?答案是可以的。具体请看下文: HttpServletRequest包装类: [code=&quot
java修复sql注入问题常用方法
BHSZZY的博客
10-10 1482
1.把xml里的$换成#2.部分不好换的地方,尝试使用bind标签,看能否实现需求。
python编写的sql盲注
10-28
python编写的sql盲注
SQL盲注攻击的简单介绍
12-14
Stephen Kost[3]给出了这种攻击形式的另一个特征,“从一个数据库获得未经授权的访问和直接检索”,SQL注入攻击其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞,“当攻击者能够操作...
sql盲注检测的简单脚本.zip
03-10
sql盲注检测的简单脚本.zip
布尔盲注.py_sql盲注python_
10-03
一个简单sql注入盲注的python脚本,其中语句需要根据环境条件做改变
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
java后台为前台JSP页面的SELECT标签设置值
my zone
04-27 9542
后台写法:List roleList = new ArrayList();   request.setAttribute("roleList", roleList);   dto = ctlBL.getUserRolesNotInProcess(dto);   List list = dto.getUserRoleList();   for(UserRoleInfo info : list){    //前面的是页面显示的值,后面的是要存储的值    roleList.add(new LabelValueB
Cannot create a server using the selected type
my zone
09-25 8785
<br /> 在eclipse中安装tomcat服务器,报错" Cannot create a server using the selected type ".<br />原因:以前安装的tomcat目录改变<br />解决方法:Window->preferences->Server->Runtime Environment,改变tomcat的目录为你安装的目录,然后保存,这样就可以建立Tomcat server了。<br />还有另一种方式:<br />在当前工作区中如下路径:/.metadata/.p
JSP页面的错误处理
my zone
11-01 4445
 其代码如下:%@page language="java" contentType="text/html"  import="java.util.*"  %>%@taglib uri="http://java.sun.com/jsp/jstl/core"  prefix="c"%>    int a=9;int b=0;try{%> }catch(Exception e){out.pr
测试DataSource报javax.naming.NoInitialContextException错误
my zone
11-01 3950
 javax.naming.NoInitialContextException: Need to specify class name in environment or system property, or as an applet parameter, or in an application resource file:  java.naming.factory.initial at ja
SQL注入与SQL盲注的区别
最新发布
04-07
SQL注入和SQL盲注都是常见的安全漏洞,但它们有一些区别。 SQL注入是指攻击者通过在用户输入的数据中插入恶意的SQL代码,从而绕过应用程序的输入验证,进而执行非授权的数据库操作。攻击者可以通过SQL注入获取、修改或删除数据库中的数据,甚至执行任意的系统命令。SQL注入通常发生在应用程序与数据库之间的交互过程中。 SQL盲注是一种更加隐蔽的攻击方式,攻击者无法直接获取数据库的具体信息,而是通过不断尝试和推断来获取数据。SQL盲注通常发生在应用程序对用户输入进行了过滤或转义处理的情况下。攻击者通过构造特定的SQL语句,根据应用程序返回的不同响应结果来推断出数据库中的信息。 总结一下: - SQL注入是通过插入恶意SQL代码来执行非授权的数据库操作。 - SQL盲注是通过不断尝试和推断来获取数据库中的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值