解决SQL Injection漏洞的一个函数

最新推荐文章于 2021-02-19 01:27:55 发布
最新推荐文章于 2021-02-19 01:27:55 发布
阅读量498 收藏
点赞数
分类专栏: 0015-005 MS-SQL 文章标签: sql sql server function command 数据库 exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gxj022/article/details/5503755
版权

解决SQL Injection漏洞的一个函数

http://blog.csdn.net/cncco/archive/2006/04/07/654254.aspx

 

 

函数

<%
Function CheckInput(str,strType)
   '函数功能:过滤字符参数中的单引号,对于数字参数进行判断,如果不是数值类型,则赋值0
   '参数意义:  str        ---- 要过滤的参数
   '                 strType ---- 参数类型,分为字符型和数字型,字符型为"s",数字型为"i"
 Dim strTmp
 strTmp     = ""
 If strType ="s" Then
  strTmp = Replace(Trim(str),"'","'")
 ElseIf strType="i" Then
  If isNumeric(str)=False Then str="0"
  strTmp = str
 Else
  strTmp = str
 End If
 CheckInput = strTmp
End Function
%>

这个函数很简单, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,具体用法:

字符类型的
strUsername = CheckInput(Request(“username“),“s“)
数字类型的
ID = CheckInput(Request(“id“),“i“)


SQL Injection的危害是很大的,比如对于SQL Server,可以创建、删除数据库,执行系统命令等等, 如drop table tbl_name, execute master.dbo.xp_cmdshell "command"所以很多人写的函数就是拼命的去过滤这些可能引起危害的关键词,比如drop ,分号,and,exe,mid等等,罗列了一大堆。

其实,尽可以不必那么繁琐,非要把简单的事情复杂化。
对于过滤,ASP中只要针对字符型和数字型分别处理就可以了,

字符型的,把单引号转换成两个单引号  strTmp = Replace(Trim(str),"'","'")
数字型的,就判断是否能够转换成数字型的 ,用 isNumeric函数

现在网上说的能够绕过单引号的攻击,其实是针对数字类型的,如果对于过滤了单引号的字符型,还有办法绕过,那就没得玩了........


本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/cncco/archive/2006/04/07/654254.aspx

gxj022
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超级SQL注入工具【SSQLInjection】V1.0 正式版 20200209.zip
05-26
一款基于HTTP协议自组包的SQL注入工具,工具采用C#开发,直接操作TCP会话来进行HTTP交互,支持现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入;支持以盲注、错误显示、Union注入等方式来获取数据;里含教程地址
SQL注入(Injection)简介
cnds123的专栏
11-25 6336
SQL注入(Injection)简介 SQL注入(SQL injection),是发生于应用程序与数据库层的安全漏洞。只要是支持处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。 是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。 SQL注入演示 SQL命令
SQL Injection
weixin_42400722的博客
08-22 2050
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下, 静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。 示例1以下代...
SQL InjectionSQL注入)介绍及SQL Injection攻击检测工具
热门推荐
周公(周金桥)的专栏
08-06 1万+
1.关于SQL Injection 迄今为止,我基本没有看到谁写一篇很完整的文章,或者说很成熟的解决方案(能做到 的人肯定很多,问题是没有流传开来,很遗憾) 我简单的说几点,希望启发大家思考,起到抛砖引玉的作用 一、SQL Injection的原理 SQL Injection的实现方法和破坏作用有很多,但万变不离其宗,其原理可以概括为一句话 :SQL Injection就是向服务器端提交事先
一个asp函数解决SQLInjection漏洞
10-24 645
函数很简单, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,具体用法:字符类型的strUsername = CheckInput(Request(“username“),“s“)数字类型的ID = CheckInput(Request(“id“),“i“)下面是函数Function CheckInput(str,strType)   函数功能:过滤字符参数中的单引号,对于数
用PHP函数解决SQL injection
12-17
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。 如果你网站空间的...作为一个开发者,你不知道每个用户的
PHP 小心urldecode引发的SQL注入漏洞
01-20
Ihipop 学校的 Discuz X1.5 论坛被黑,在那里吵了一个下午。... 粗略看了一下代码,这个 SQL 注入漏洞是 urldecode 函数造成的。在 PHP 手册中,urldecode 函数下面有一个警告: The superglobals $_GET and $_REQ
mysql 5.0.45 (修改)拒绝服务漏洞
12-15
mysql 5.0.45 (修改)拒绝服务漏洞 /* * MySQL <... * Scenario: You found SQL injection, but you want to punch backend server * in the nuts just for fun. Start with the Alter TABLE statement o
Lilibot:SQLi-SQLinjection机器人不是僵尸网络,不是病毒性僵尸
05-04
首先创建检测漏洞的下一个目标是使用机器人突显示可利用漏洞的数量。 在开发人员中,任何版本都尚未发布。 省时间。 保持控制。 如何安装(约60秒)? 使用您的ID连接到您的mysql服务器。 ##建立数据库(约20...
PHP漏洞全解
02-12
5、SQL 注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、Session 固定攻击(Session Fixation) 9、HTTP 响应拆分攻击...
超级SQL注入工具【SSQLInjection】V1.0 正式版 20200527.rar
04-10
超级SQL注入工具【SSQLInjection】V1.0 正式版 20200527
渗透入侵\超级SQL注入工具 SSQLInjection V1.0.zip
07-15
超级SQL注入工具 SSQLInjection V1.0
超级SQL注入工具【SSQLInjection】V1.0 正式版 20181221.zip
08-01
超级SQL注入工具【SSQLInjection】V1.0 正式版 20181221
超级SQL注入工具【SSQLInjection】V1.0 正式版 20201112
09-22
超级SQL注入工具最新版
超级SQL注入工具【SSQLInjection】V1.0 正式版 20170916
09-26
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。
mysql注入扫描网站漏洞工具_国产SQL注入漏洞测试工具 - 超级SQL注入工具(SSQLInjection)...
weixin_39564755的博客
02-19 665
此工具为本人对C#、Socket及HTTP协议、SQL注入进行深入研究后,闲暇时间做的一款SQL注入工具。不说秒SQLMap,直接秒杀什么webcruiser、Safe3SI、pangolin、havij、DSQLTools、明小子等,今后可以扔掉这些过时的工具了。简介超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持现在HTTP协议任意位置的SQ...
超级SQL注入工具
04-08
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,相比C#自带的HttpWebRequest速度提升2-5倍。 超级SQL注入工具支持盲注环境获取世界各国语言数据,直接秒杀各种注入工具在盲注环境下无法支持中文等多字节编码的数据。 工具特点: 1. 支持任意地点现的任意SQL注入 2. 支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。 3. 支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找注入问题。 4. 依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。 程序运行需要安装. Net Framework 2.0。运行环境Win7,Win8环境已测试,其他环境请自测。 注意:使用本工具,需要对SQL注入有一定了解。
SQL注入工具
06-27
SQL注入工具
超级SQL注入工具【SSQLInjection】V1.0 正式版 20180809
10-23
软件运行需要.net framework 4.0,如未安装,请自行百度下载安装。
使用Frida检测App中是否有SQL注入漏洞
最新发布
06-07
例如,以下是一个检测SQL注入漏洞的Frida脚本: ``` function hookSQL() { Java.perform(function () { var SQLiteStatement = Java.use("android.database.sqlite.SQLiteStatement"); SQLiteStatement....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值