SQL注入防御之二——注入关键词过滤(PHP)

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量1.1w 收藏 3
点赞数 4
分类专栏: PHP 文章标签: sql注入 php web表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tim_phper/article/details/52288940
版权

SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

概述

  欢迎来到本人的SQL注入防御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来防止SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能完全防止注入。相信来到这里,聪明的你一定有下面的疑问,那么有没有一种方法来阻止接受参数的输入呢?只要阻止恶意SQL语句的输入不就达到防止SQL注入的目的吗?没错,这一篇文章正是介绍如何通过过滤关键的SQL语句的关键词来达到阻止SQL注入的目的。

准备

  既然要实现黑名单策略,我们第一步当然先来分析一下到底过滤哪些关键词。SQL语句对于数据库的操作离不开“增删改查”和“文件处理”,那么它们分别有哪些关键词呢?

  • 基本关键词: and、or、order
  • 增的关键词: insert、into
  • 删的关键词: delete
  • 改的关键词: replace、update
  • 查的关键词: union、select、
  • 文件处理的关键词: load_file、outfile
最低0.47元/天 解锁文章
Tim_PHPer
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP——SQL注入测试靶场
05-27
PHP——SQL注入测试靶场】是一个用于学习和实践SQL注入漏洞的安全平台,它通过PHP编程语言构建,目的是帮助开发者和网络安全爱好者理解SQL注入的工作原理,以及如何防范这种常见的Web安全威胁。SQL注入是一种攻击...
PHP+Mysql 带SQL注入源码 下载
04-21
"PHP+Mysql 带SQL注入源码 下载"这个标题揭示了一个可能存在的安全问题——SQL注入。这是一个常见的攻击手段,攻击者通过输入恶意的SQL语句来获取、修改、删除数据库中的数据,甚至控制整个服务器。 首先,我们需要...
php mysql入库过滤,过滤SQL关键字,mysql入库字段过滤
weixin_39846361的博客
03-23 244
/***过滤SQL关键字,mysql入库字段过滤*@param$val要过滤的字符串*@returnmixed*/functionsql_replace($val){$val=str_replace(“\t”,'',$val);$val=str_replace(“%20”,'',$val);$val=str_replace(“%27”,...
php_bugs_04_sql注入关键字过滤绕过——一次失败审计
admin_mds的博客
03-19 272
php_bugs 04
sql注入(三)绕过方法及防御手段
最新发布
wangluoanquan111的博客
04-20 1149
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
web安全防sql注入十字原则 输入皆不可信,强制其多过滤。 附PHP过滤函数
blog_phpxz的博客
05-03 1142
SQL注入与跨站攻击过滤函数,支持SQL注入,跨站脚本攻击和跨站POST提交等常见安全过滤。<?php/** * 全局安全过滤函数 * 支持SQL注入和跨站脚本攻击 */function global_filter(){ //APP,ACT 分别为控制器和控制器方法 $params = array(APP, ACT); foreach($params as $k =>...
php 过滤特殊字符及sql防注入代码
chamtianjiao的专栏
12-27 6480
//方法一 //过滤',",sql语名 addslashes(); //方法二,去除所有html标签 strip_tags(); //方法三过滤可能产生代码 function php_sava($str)  {      $farr = array(          "/s+/",
PHP注入+检测JSP站点技术教程
07-04
1. **扫描漏洞**:使用自动化工具(如Nessus、OWASP ZAP等)扫描JSP站点,查找常见的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、路径遍历等。 2. **审查源代码**:获取JSP源码并分析是否存在不安全的编程习惯,如硬...
php+mysql注入页面实现
09-11
PHP与MySQL注入页面的实现涉及到Web安全领域中的一个重要话题——SQL注入SQL注入是一种攻击手段,通过输入恶意的SQL代码,攻击者可以绕过网站的安全防护,获取、修改或删除数据库中的敏感信息。在这个过程中,我们...
白帽子修炼第二步(漏洞篇)[SQL注入]-③
05-29
"白帽子修炼第二步(漏洞篇)[SQL注入]-③"这个主题主要聚焦于网络安全中的一个重要话题——SQL注入。白帽子,指的是那些通过合法手段发现并报告系统安全漏洞的专业人士,与黑客形成鲜明对比。他们对网络系统的深入...
sql注入漏洞
qz362228的博客
08-11 2484
sql注入漏洞原理,类型,防御方式,绕过技巧
sql注入过滤关键字(union select等等)
没事我溜达
03-15 8486
今天来学习一下注入中关键字被过滤了该如何解决 打开靶场,这是我本地搭建的一个靶场所以没有靶场地址 我们在输入框内输入一个1 查询一下结果。 尝试闭合和注释,发现单引号即可完成闭合,--+作为注释内容,通过order by查询列数 看到页面上方order的or被过滤,说明or即是关键词,我们双写or,变成 oorrder by 2 (一定要在or的中间双写or,不然两个都会被注释掉) 通过order by发现只有两列数据,那么开始联合注入 ...
sql注入过滤与绕过
designer545的博客
07-13 1130
在一些网站,管理员会通过一些正则表达式来使过滤一些语句 此时,就要通过一些绕过方法来绕过过滤进行查询。 一、通过注释符绕过 注释符 # // 通过在关键词的中间加入注释符,使关键词不被识别 如 select 改为 se//lect 二、通过<>绕过 如 select 改为 sel<>ect 三、通过改变大小写绕过 四、如果and or被过滤 可以将and 用&& 替换 or 用 || 替换 五、通过重复关键词绕过 六、通过url编码绕过 七、等价函数与命令
php常见过滤函数(实用)
心有猛虎 细嗅蔷薇
01-24 6583
stripslashes函数 删除反斜杠: <?php echo stripslashes("Who\'s Bill Gates?"); ?> htmlspecialchars函数 <?php $str = "This is some bold text."; echo htmlspecialchars($str); ?> 把 转换为实体常用于防
防止sql注入
weixin_43778463的博客
09-19 374
防止sql注入
注入过滤php,phpsql注入过滤代码
weixin_30679547的博客
03-09 508
function phps教程ql_show($str){$str = stripslashes($str);$str = str_replace("\", "", $str);$str = str_replace("/", "/", $str);$str = str_replace(" ", " ", $str);$str = str_replace(",", ",", $str);return...
SQL注入绕过关键词过滤的小技巧及原理(union select为例)
热门推荐
weixin_54848371的博客
09-22 1万+
本文以联合查询关键字union select为例讲解绕过关键词过滤的一些方法。之所以了解绕过,关键是发现sqlmap有时候真的是不靠谱,只能指定命令跑。有一些简单过滤很容易绕过却不能检测。虽然麻烦点,手工yyds~~。 1、大小写变种 UNION SELECT=>uNIon SElecT 选择几个字母变换大小写,可以绕过部分不太聪明的过滤器。在sql查询中是不区分大小写的所以查询语句正常执行 2、使用SQL注释 union select=>/**/UNION/**/...
php 筛选字符串,PHP简单字符串过滤方法示例
weixin_35146639的博客
03-09 350
原标题:PHP简单字符串过滤方法示例这篇文章主要介绍了PHP简单字符串过滤方法,结合实例形式分析了php通过对字符串中特殊字符进行正则替换实现字符过滤功能的简单操作技巧,需要的朋友可以参考下。本文实例讲述了PHP简单字符串过滤方法。分享给大家供大家参考,具体如下:PHP字符串的过滤方法function strFilter($str){//特殊字符的过滤方法$str = str_replace('`...
SQL注入的一般方法总结(含WAF绕过) ctf
NLost
03-20 6830
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器 上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 下面分享几种常见的SQL注入常见绕过方法:以下以 **index.php?id=1** 为例绕过
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值