防止JS注入

最新推荐文章于 2023-03-25 10:30:35 发布
最新推荐文章于 2023-03-25 10:30:35 发布
阅读量2.3k 收藏
点赞数
文章标签: string table sql insert 数据库 null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxin251858048/article/details/6182996
版权

再在Global文件里里加入
   protected void Application_BeginRequest(Object sender, EventArgs e)
   {
   //SQL防注入
   string Sql_1 = "exec|insert+|select+|delete+|update+|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";
   string Sql_2 = "exec+|insert|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";
   string[] sql_c = Sql_1.Split('|');
   string[] sql_c1 = Sql_2.Split('|');

   if (Request.QueryString != null)
   {
   foreach (string sl in sql_c)
   {
   if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)
   {
   Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");//
   Response.Write(sl);
   Response.Write(Request.QueryString.ToString());
   Response.End();
   break;
   }
   }
   }

   if (Request.Form.Count > 0)
   {
   string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称
   if (Request.ServerVariables["HTTP_REFERER"] != null)
   {
   string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称
   string s3 = "";
   if (s1.Length > (s2.Length - 7))
   {
   s3 = s2.Substring(7);
   }
   else
   {
   s3 = s2.Substring(7, s1.Length);
   }
   if (s3 != s1)
   {
   Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");//
   Response.End();
   }
   }
   }
   }

  b.对参数进行SQL防止注入判断
   public static string SafeSqlLiteral(string inputSQL)
   {
    // check incoming parameters for null or blank string
    if ((inputString != null) && (inputString != String.Empty))
    {
    inputString = inputString.Trim();

                  inputString = Regex.Replace(inputString, "[//s]{2,}", " "); //two or more spaces
                  inputString = Regex.Replace(inputString, "(<[b|B][r|R]/*>)+|(<[p|P](.|//n)*?>)", "/n"); //<br>
                  inputString = Regex.Replace(inputString, "(//s*&[n|N][b|B][s|S][p|P];//s*)+", " "); //&nbsp;
                  inputString = Regex.Replace(inputString, "<(.|//n)*?>", string.Empty); //any other tags
                  inputString = inputString.Replace("'", "''");

                  return inputString;
   }
   else
    return inputString;
   }

  c.彻底杜绝SQL注入

   1.不要使用sa用户连接数据库
   2、新建一个public权限数据库用户,并用这个用户访问数据库
   3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
   4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
   5、通过以下代码检测(失败表示权限正确,如能显示出来则表明权限太高):
   DECLARE @T varchar(255),
   @C varchar(255)
   DECLARE Table_Cursor CURSOR FOR
   Select a.name,b.name from sysobjects a,syscolumns b
   where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
   OPEN Table_Cursor
   FETCH NEXT FROM Table_Cursor INTO @T,@C
   WHILE(@@FETCH_STATUS=0)
   BEGIN print @c
   FETCH NEXT FROM Table_Cursor INTO @T,@C
   END
   CLOSE Table_Cursor
   DEALLOCATE Table_Cursor

   sql2005做法:
   1、在系统视图找到sysobjects a,syscolumns b ,属性,进入权限,找到SELECT后面拒绝打勾即可。

农家开发者
关注
java 防止js注入_java 防止JS注入(使用ESAPI进行编码)
weixin_42312133的博客
02-16 1613
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描,扫描工具使用的是Fortify安全工具推荐使用ESAPI.encoder().encodeForHTML来对html字符串进行编码,那我们就来开始尝试吧。1. 引入esapi依赖org.owasp.esapiesapi2.2.0.0log4j...
jquery ajax对特殊字符进行转义防止js注入使用示例
10-26
在Web开发中,JavaScript注入JS注入)是一种常见的安全威胁,它允许攻击者通过输入恶意脚本到网页的输入字段,使这些脚本在用户的浏览器上执行,可能导致数据泄露、权限提升或其他不良后果。jQuery的AJAX功能在...
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ASP.NET MVC 阻止 JavaScript 注入攻击
deng_zz的专栏
01-22 6277
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论防止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据防止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容防止 JavaScript 注入攻击。什么是 JavaScript 注入攻击?每当接
防止js注入
llinyunxia的专栏
03-22 544
当要将页面的信息写入数据库 并读取出来的时候 要防止js注入 使用spring-web里面的这个类可以解决问题 HtmlUtils.htmlEscape("string") 该类里面的这个方法可以将一些可疑字符进行转化后存入到数据库中 public String convertToReference(char character, String encoding) { i
浅谈html转义及防止javascript注入攻击的方法
10-20
防止JavaScript注入攻击的关键在于正确处理用户输入的数据。以下是一些预防策略: 1. **HTML转义**:如上所述,对用户输入的数据进行HTML转义是最基本的防御手段,可以防止浏览器将它们解释为JavaScript代码。 2. ...
js代码注入
WiFi_Uncle的专栏
10-11 4892
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
js中用正则表达式 过滤特殊字符, js验证中文字母数字
weixin_34087307的博客
08-14 981
//匹配中文 数字 字母 下划线 var checkInput = function (str) { var pattern = /^[\w\u4e00-\u9fa5]+$/gi; if(pattern.test(c)) { return false; } return t...
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 3925
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
java js 注入_Java如何防止JS脚本注入代码实例
weixin_36330704的博客
02-24 568
Java如何防止JS脚本注入代码实例,符号,脚本,顺序,视图,表情Java如何防止JS脚本注入代码实例易采站长站,站长之家为您整理了Java如何防止JS脚本注入代码实例的相关内容。1.java中防止JS脚本注入的工具类-通用public class XssUtil {private static Map xssMap = new LinkedHashMap();private static Map...
网站安全防护-如何防止js注入-服务端设置
11-28 377
csp头进行配置
利用Javascript进行注入
06-25 858
//作者: kostis90gr//翻译: 黯魂[S.S.T]//本文已发表于《黑客防线》6月刊,版权属于黯魂和《黑客防线》杂志社,转载请务必保持文章完整性,谢谢:)这份指南仅仅是出于报告目的,如果任何人把它用于违法目的,我不负责任.通过使用javascript注入,用户不用关闭网站或者把页面保存在他的PC上就可以改变网站中的内容.这是由他的浏览器的地址栏完成的.命令的语法看上去像这样: java
java中Runtime.exec()可能带来的命令注入安全问题的解决办法
feinifi的博客
03-25 4370
runtime.exec(command)存在命令注入风险的解决办法,采用三方框架esapi对部分命令进行过编码校验,三个配置文件缺一不可,只对部分命令进行校验,不是整个命令。
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
前端输入框如何防止js代码攻击
qq_41621512的博客
09-27 5163
这种攻击一般叫做xss攻击 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比如:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。 攻击的危害  攻击者把代码注入进了访问的页面,所以恶意脚本...
防止js代码注入攻击
qq_43288085的博客
09-27 3235
方法 利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。 还可以利用转义。 什么是转义 说到这就不得不说一下什么是转义。 html转义是将特殊字符或html标签转换为与之对应的字符。如:&amp;amp;lt; 会转义为 &amp;amp;lt;&amp;amp;gt; 或转义为 &amp;amp;gt;像“&amp;quot;&amp;amp;lt;“script&amp;amp;gt;alert(‘test’);&
如何防止js注入攻击和SQL注入攻击
最新发布
06-07
防止JS注入攻击: 1. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`、`>`、`&`等。可以使用正则表达式来过滤这些特殊字符。 2. 对特殊字符进行转义:在前端输出用户输入数据时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值