js防SQL注入式攻击

最新推荐文章于 2024-05-29 09:30:00 发布
最新推荐文章于 2024-05-29 09:30:00 发布
阅读量2.7k 收藏
点赞数
文章标签: sql insert delete javascript user table

SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。

比如:
如果你的查询语句是select * from admin where username="&user&" and password="&pwd&""

 那么,如果我的用户名是:1 or 1=1
 那么,你的查询语句将会变成:

 select * from admin where username=1 or 1=1 and password="&pwd&""

 这样你的查询语句就通过了,从而就可以进入你的管理界面。

所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。

需要过滤的特殊字符及字符串有:

   net user
   xp_cmdshell
   /add
   exec master.dbo.xp_cmdshell
   net localgroup administrators
   select
   count
   Asc
   char
   mid
  
   :
   "
   insert
   delete from
   drop table
   update
   truncate
   from
   %

下面关于解决注入式攻击的防范代码,供大家学习参考!

js版的防范SQL注入式攻击代码:

  
<script language="javascript">
<!--
 var url = location.search;
 var re=/^/?(.*)(select%20|insert%20|delete%20from%20|count/(|drop%20table|update%20truncate%20|asc/(|mid/(|char/(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|/"|:|net%20user|/|%20or%20)(.*)$/gi;
 var e = re.test(url);
 if(e) {
  alert("地址中含有非法字符~");
  location.href="error.asp";
 }
//-->
<script>
 
HelloLove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入攻击
JavaEE_ZCR的博客
09-16 325
什么是SQL注入攻击 就是利用sql语句的漏洞来对系统进行攻击,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问SQL注入攻击没什么区别,所以市面的火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据. 例如: 某个网站的登录验证的SQL查询代码为: String sqlLogin= “SELECT * FROM users
什么是注入攻击,如何sql注入攻击
qq_43956225的博客
10-14 2224
什么是SQL注入攻击? a. 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 b. 在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。 c. 常见的SQL注入攻击过程例如: (1) 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 (2) 登录页面中输入的内容将直接用来构造动..
JS SQL注入
weixin_34236869的博客
02-01 176
functionAntiSqlValid(oField) { re=/select|update|delete|exec|count|’|"|=|;|>|<|%/i; if(re.test(oField.value)) { //alert("请您不要在参数中输入特殊字符和SQL关键字!")...
NodejsSQL注入,占位符 转义查询 )
时意
09-20 5351
浅谈SQL注入 本来想把这篇文章写在 Nodejs(访问mysql)里 但是查了一下SQL注入 引起了我的兴趣 可能学习完前端这一套 我会抽时间 学习网络安全 这种课程 什么是SQL注入 就是 大家写SQL的时候 不管方法也好 还是 直接从界面取得控件内容 都或多或少拼接字符串方 var name=txt_name.text; var password=txt_pass.text; ...
【Node.js实战】一文带你开发博客项目之安全(sql注入、xss攻击、md5加密算法)
最新发布
qq_44005305的博客
05-29 1315
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据库内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预至此,我们明白了如何sql注入、如何预xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据库(mysql,sequelize,mongodb)】
SQLJS脚本 注入攻击过滤
t194978的博客
04-17 505
1. web.xml 配置过滤器 <!-- SQLJS脚本 注入攻击过滤器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.huawei.esysadmin.common.filter.XssFilter</fil...
JavaScript过滤SQL注入字符
08-05
NULL 博文链接:https://lxmhope.iteye.com/blog/2061806
js sql注入字符过滤
一醉千秋的专栏
04-27 1032
1.js过滤常用的sql关键字,根据实际测试情况,不断添加完善,不同的数据库会有差异 this.IllegalParam = function (param) { var _reg=/select |update |delete |truncate |join |union |exec |insert |drop |count | and | or |mid |from |=|add |...
SQL注入的四种方案
dehuisun的专栏
09-05 9699
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1428
止xss和sql注入:JS特殊字符过滤正则
5种方法jsp被sql注入
收集盒 Book box
09-22 6517
一、 SQL注入简介 SQL注入是比较常见的网络攻击之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
JS代码SQL注入的方法(超简单)
10-22
下面通过两个方面给大家介绍js代码sql注入的方法,非常简单实用,感兴趣的朋友参考下吧
基于jQuery的SQL注入攻击范实现
12-29
现今实现SQL 注入攻击主要是在服务器端实现, 实现的方法主要有基于正则表达的输入验证、敏感字符的 改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面, 其一, 服务端处理数据使系统资源被过分占用, 容易 造成服务器端拒绝服务; 其二, 编写动态网页的脚本语言多样化, 每种脚本对应一种SQL注入方法, 使程序不具有可 读性、标准性。文中着力解决基于服务器端处理SQL 注入攻击的缺陷, 故探寻了一种在客服端实现的基于jQuery SQL 注入攻击的方法, 其目的是使攻击在客服端就被拦截, 同时利用jQuery开放性的特点使w eb程序更具有可移植性。
360通用asp护代码(sql注入)
09-29
360通用ASP护代码旨在解决这个问题,SQL注入和跨站攻击,提高网站的安全性。 SQL注入护主要涉及以下几点: 1. **输入验证**:对用户提交的数据进行严格的检查,例如限制特殊字符、长度检查和类型检查。360...
SQL注入全面讲解技术文档
03-31
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序中对用户输入数据处理的不足,使得攻击者能够注入恶意的SQL代码,以获取未经授权的数据或者控制数据库服务器。以下是对SQL注入漏洞的全面讲解,包括其原理、...
基于ASP的留言本(sql注入) v1.02.zip
07-16
综上所述,"基于ASP的留言本(sql注入) v1.02.zip"是一个具备SQL注入功能的ASP编程的留言本应用,其设计考虑了用户输入的安全性,提供了动态交互的用户界面,并通过不断迭代和改进提升了系统安全性。...
SQL.rar_asp sql 理财系统_资产
09-23
开发者需要考虑SQL注入、XSS攻击等常见的网络安全问题,采用加密技术保护用户数据,同时设置合适的权限控制,确保只有授权用户能访问和修改信息。 6. 报表和数据分析: 系统可能提供各种报表功能,如资产总览、...
BBS论坛系统(jsp+sql).rar
05-17
6. **安全措施**:为了保护用户数据,系统应实施一系列安全措施,如SQL注入护、XSS(跨站脚本攻击御、CSRF(跨站请求伪造)护等。此外,密码通常需要加密存储,以止数据泄露。 7. **用户权限管理**:论坛...
PHP安全编程:SQL注入与XSS攻击策略
SQL注入是一种攻击手法,攻击者通过插入恶意的SQL语句到应用程序的输入字段,以获取未经授权的数据访问或控制数据库服务器。例子中的未过滤动态SQL语句是导致SQL注入的主要原因。为了SQL注入,开发者应采取以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值