防sql注入&文本框防sql注入

最新推荐文章于 2024-08-07 09:52:55 发布
最新推荐文章于 2024-08-07 09:52:55 发布
阅读量2.5k 收藏
点赞数
文章标签: sql function javascript insert delete each
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Me_zhen/article/details/5717440
版权


防注入/
  <%
  dim   sql_injdata    
  SQL_injdata   =   "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"    
  SQL_inj   =   split(SQL_Injdata,"|")    
   
  If   Request.QueryString<>""   Then    
  For   Each   SQL_Get   In   Request.QueryString    
  For   SQL_Data=0   To   Ubound(SQL_inj)    
  if   instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0   Then    
  Response.Write   "<Script   Language=javascript>alert('SQL通用防注入系統提示,請不要在參數中包含非法字符嘗試注入!');history.back(-1)</Script>"    
  Response.end    
  end   if    
  next    
  Next    
  End   If    
  If   Request.Form<>""   Then    
  For   Each   Sql_Post   In   Request.Form    
  For   SQL_Data=0   To   Ubound(SQL_inj)    
  if   instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0   Then    
  Response.Write   "<Script   Language=javascript>alert('SQL通用防注入系統提示,請不要在參數中包含非法字符嘗試注入');history.back(-1)</Script>"    
  Response.end    
  end   if    
  next    
  next    
  end   if    
  %>


一:处理SQL注入的  
  Function   SafeReplace(ParaName)
            '---   传入参数   ---  
            'ParaName:参数名称-字符型,
            Dim   Paravalue
            Paravalue=LCase(Trim(ParaName))
             
            Paravalue=Replace(Paravalue,"select","")  
            Paravalue=Replace(Paravalue,"insert","")  
            Paravalue=Replace(Paravalue,"updata","")  
            Paravalue=Replace(Paravalue,"addnew","")  
            Paravalue=Replace(Paravalue,"delete","")  
            Paravalue=Replace(Paravalue,"order","")  
            Paravalue=Replace(Paravalue,"and","")  
            Paravalue=Replace(Paravalue,"or","")  
            Paravalue=Replace(Paravalue,"exec","")  
            Paravalue=Replace(Paravalue,"--","")  
            Paravalue=Replace(Paravalue,"-","")  
            Paravalue=Replace(Paravalue,";","")  
            Paravalue=Replace(Paravalue,"%","")  
            Paravalue=Replace(Paravalue,"<","")  
            Paravalue=Replace(Paravalue,">","")  
            Paravalue=Replace(Paravalue,"(","")  
            Paravalue=Replace(Paravalue,")","")  
            Paravalue=Replace(Paravalue,"window.open","")  
            Paravalue=Replace(Paravalue,"window.close","")  
            Paravalue=Replace(Paravalue,"while(1)","")  
            Paravalue=Replace(Paravalue,"script","")  
            Paravalue=Replace(Paravalue,"'","")  
            Paravalue=Replace(Paravalue,chr(34),"")  
            Paravalue=Replace(Paravalue,chr(39),"")  
             
            SafeReplace=Paravalue
  End   function  

  Function   SafeRequest(ParaName,ParaType)  
                '---   传入参数   ---  
                'ParaName:参数名称-字符型  
                'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)  
                Dim   Paravalue  
                Paravalue=Request(ParaName)  
                If   ParaType=1   then  
                              '添加非空判断           Paravalue=replace(Paravalue,"-","")  
            If   Paravalue=""   then  
                  'Response.write   "参数"   &   ParaName   &   "不能为空!"  
              Response.Write("<script   language='javascript1.2'>history.go(-1)</script>")  
                                            Response.end    
            elseIf   not   isNumeric(Paravalue)   then  
                                            'Response.write   "参数"   &   ParaName   &   "必须为数字型!"  
              Response.Write("<script   language='javascript1.2'>history.go(-1)</script>")  
                                            Response.end  
                              End   if  
                Else  
                              Paravalue=replace(Paravalue,"'","''")  
                End   if  
                SafeRequest=Paravalue  
  End   function


  二:反处理htmlencode的  
  Function   HTMLDecode(strEncode)  
     
                  strEncode=LCase(strEncode)  
                  strEncode=Replace(strEncode,"&amp;","&")  
                  strEncode=Replace(strEncode,"&lt;","<")  
                  strEncode=Replace(strEncode,"&gt;",">")  
                  strEncode=Replace(strEncode,"&quot;",Chr(34))  
                  strEncode=Replace(strEncode,"<br>","/r/n")  
                  strEncode=Replace(strEncode,"&nbsp;","   ")  
       
                  HTMLDecode   =   strEncode  
    End   Function  
三:去掉html标签   正则
  function   nohtml(str)  
          dim   re  
          Set   re=new   RegExp  
          re.IgnoreCase   = true  
          re.Global=True
          re.Pattern="(/<.[^/<]*/>)"  
          str=re.replace(str,"   ")  
          re.Pattern="(/<//[^/<]*/>)"  
          str=re.replace(str,"   ")  
          nohtml=str  
          set   re=nothing  
  end   function

Me_zhen
关注
文本框中非法输入
04-16
各种文本框中输入的方法 javascript
文本框SQL注入
章 波的专栏
12-23 2096
<br />//过滤关键字,所有文本框不允许输入半角 ' <> 等字符 function filterKeyChar() { var input=document.getElementsByTagName("input"); for(var i=0;i<input.length;i++) { if(input[i].type=="text") input[i].onkeyup=function(){ stringT
SQL注入网站实例:注入步骤
最新发布
2401_84466229的博客
08-07 833
在第三部分,我们主要是详细的给大家演示,如何对一个网站进行SQL注入入侵的,这个入侵过程中,它是如何发现注入点的,发现和测试注入点之后,我们要如何来获得爆库、爆表、爆密码,甚至控制后台,一旦获得网站控制后台之后,更有甚者,要如何与数据库层、系统层进行交互提权,以便进一步控制数据库和操作系统,所有这些又是如何发生的我们将通过详细的注入实例,我们从中吸取教训,从安全角度来说,我们要如何来预mysql注入的高级黑客,这就是我们第三部分所要解决的问题。
什么是sql注入,如何sql注入
热门推荐
0317_lzq_th
08-12 1万+
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户
SQL注入
淡泊明志,宁静致远
02-04 2435
在做VB版机房收费系统的时候就了解到了SQL注入,那个时候再网上查了一些资料,感觉很高大上也没有弄得很懂,这次再看到SQL注入,弄清楚了它的来龙去脉。        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。——百度百科        看到这么一堆的解释还是没有很懂,下面来看一个例子。
文本框输入sql注入攻击
qingmengwuhen1的博客
05-05 6786
文本框输入文本进行校验禁止输入%和
JS代码SQL注入的方法(超简单)
10-22
本文主要介绍了如何使用JavaScript代码来SQL注入,这是为了保证Web应用的安全性,止恶意用户通过输入特定的SQL语句来破坏数据库。文章从两个方面进行了说明,包括URL地址注入和输入文本框注入。 首先,...
SQL注入漏洞演示源代码
01-07
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理以及如何预它。 SQL注入是一种利用不安全的...
如何sql注入
12-14
SQL注入是一种常见的网络安全威胁,它利用了应用程序对用户输入数据处理不当的问题,使得攻击者能够构造恶意的SQL语句,从而获取、修改、删除数据库中的敏感信息,甚至控制整个数据库服务器。SQL注入的关键在于...
Web的SQL注入原理及其御方法.pdf
09-19
SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单的输入域或页面请求中插入SQL命令,从而欺骗服务器执行恶意的SQL命令。这种攻击方式能够绕过正常的认证机制,直接访问数据库内容,甚至对数据库进行破坏。 在...
手动识别 SQL 注入
weixin_62800523的博客
06-28 349
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作当用户自定义参数请求服务器中的动态资源或者在服务器上执行的代码包含了某个页面时,就会出现文件包含漏洞。在文本框中输入 1'(1 和一个单撇号)并提交该 ID。|:代表首先执行a命令,在执行b命令,不管a命令成功与否,都会去执行b命令。(当命令a失败时,它仍然会执行命令b,表示A命令语句的输出,作为B命令语句的输入执行。
通用aspx注入代码
12-06
360通用aspx护代码 -----------------使用方法------------------------------------------------------------------ 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。 2.将Global.asax文件拷贝到web根目录 假如已经存在Global.asax文件,那直接把下面这段代码 void Application_BeginRequest(object sender, EventArgs e) { if (Request.Cookies != null) { if (safe_360.CookieData()) { Response.Write("您提交的Cookie数据有恶意字符!"); Response.End(); } } if (Request.UrlReferrer != null) { if (safe_360.referer()) { Response.Write("您提交的Referrer数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "POST") { if (safe_360.PostData()) { Response.Write("您提交的Post数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "GET") { if (safe_360.GetData()) { Response.Write("您提交的Get数据有恶意字符!"); Response.End(); } } } 拷贝到当前的Global.asax文件里保存。
史上最全的.net sql注入攻击的替换文本
04-28
史上最全的.net sql注入攻击的替换文本
过滤网址和输入框中的特殊字符,sql注入(C#版)
寒色博客
11-25 4228
 sql注入不必在每个页面都写验证了,下面方面便可以一劳永逸。  using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.HtmlContr
SQL注入(一)
2401_84971057的博客
05-13 867
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
sql注入详解
weixin_56714714的博客
07-25 1231
首先什么是SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入有什么危害? 危害:数据泄露、脱库、篡改网站、破坏数据库、植入后门、getshell(获取网站权限) 为什么会有SQL注入漏洞? 后端代码在执行的过程将用户输入的数据也当做代码来执行,违背一个原则:代码和数据相分离(本质问题) 前段传递的数据可以随意控制,参数可控;后端对前段传递过来的数据没有过滤或者过滤不严谨,最终导致SQL注入注入的原因)
SQL注入SQL injection)
l_010的博客
06-21 590
SQL注入SQL injection)
浅析php过滤html字符串,SQL注入的方法
Young
08-21 914
本篇文章是对php中过滤html字符串,SQL注入的方法进行了详细的分析介绍,需要的朋友参考下   批量过滤post,get敏感数据复制代码 代码如下: $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST);    数据过滤函数复制代码 代码如下: function stripslashes_arra
SQL注入一些文章
weixin_30625691的博客
08-21 245
http://blog.csdn.net/luying777/archive/2007/08/31/1766563.aspxhttp://hi.baidu.com/4090/blog/item/8545988fc9665dfe513d92b1.htmlhttp://www.hackbase.com/subject/2010-01-16/17987.htmlhttp://blog.cs...
后台登录注册示例:SQL注入与MD5加密实践
本文将深入探讨一个简单的后台与数据库交互的登录与注册系统设计,重点关注sql注入处理和MD5加密这两种关键安全措施。我们将基于VS2013开发环境和SQL Server 2008数据库,利用HTML、CSS、jQuery、Ajax等前端技术构建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值