sql--SQL注入过滤

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量705 收藏 2
点赞数
分类专栏: .Net C# sql语句 SQL Server数据库
原文链接:https://blog.csdn.net/weixin_38236891/article/details/90205830
版权 
        /// <summary>
        ///SQL注入过滤
        /// </summary>
        /// <param name="InText">要进行过滤的字符串</param>
        /// <returns>如果参数存在不安全字符,则返回true</returns>
        public static bool SqlFilter2(string InText)
        {
            string word = "exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
            if (InText == null)
                return false;
            foreach (string i in word.Split('|'))
            {
                if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1))
                {
                    return true;
                }
            }
            return false;
        }

        /// <summary>
        /// 将指定的str串执行sql关键字过滤并返回
        /// </summary>
        /// <param name="str">要过滤的字符串</param>
        /// <returns></returns>
        public static string SqlFilter(string str)
        {
            return str.Replace("'", "").Replace("&#39;", "").Replace("--", "").Replace("&","").Replace("/*","").Replace(";","").Replace("%","");
        }

        /// <summary>
        /// 将指定的串列表执行sql关键字过滤并以[,]号分隔返回
        /// </summary>
        /// <param name="strs"></param>
        /// <returns></returns>
        public static string SqlFilters(params string[] strs)
        {
            StringBuilder sb = new StringBuilder();
            foreach (string str in strs)
            {
                sb.Append(SqlFilter(str) + ",");
            }
            if (sb.Length > 0)
                return sb.ToString().TrimEnd(',');
            return "";
        }

        public static bool ProcessSqlStr(string Str)
        {
            bool ReturnValue = false;
            try
            {
                if (Str != "")
                {
                    string SqlStr = "&#39;|insert|select*|and'|or'|insertinto|deletefrom|altertable|update|createtable|createview|dropview|createindex|dropindex|createprocedure|dropprocedure|createtrigger|droptrigger|createschema|dropschema|createdomain|alterdomain|dropdomain|);|select@|declare@|print@|char(|select";
                    string[] anySqlStr = SqlStr.Split('|');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.IndexOf(ss) >= 0)
                        {
                            ReturnValue = true;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = true;
            }

            return ReturnValue;
        }

原文:https://blog.csdn.net/weixin_38236891/article/details/90205830

百小容是程序员
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 676
Java项目防止SQL注入的几种方案
SQL注入漏洞(7)SQL注入高级篇
weixin_51339377的博客
03-18 1402
分析目标防火墙并且跳过 1.直接拉黑ip类防火墙 2.过滤删除相应字符的防火墙 1.waf注释符号过滤 例题:Sqli-labs T23 特点:注释符 --+ # 被过滤掉了 绕过方法:逻辑上补全闭合即可 多加一次url编码只是更安全的绕过 select * from users where id = '' limit 0,1 select * from users where id = ' -1' union select 1,2,'3 ' limit 0...
sql注入(三)绕过方法及防御手段
最新发布
wangluoanquan111的博客
04-20 1134
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 905
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
SQL注入天书 sqli-labs
01-11
SQL注入通常发生在应用程序没有充分过滤或验证用户输入的情况下。当用户输入的数据被直接拼接到SQL查询语句中时,攻击者可以通过构造特定的输入来改变查询的意图。例如,一个简单的登录表单如果没有进行参数化查询,...
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
sql-bypass靶场
03-19
在"sql-bypass靶场"中,我们面对的是一个带有过滤机制的SQL注入场景,这意味着靶场已经设置了一些防御措施,以防止直接的SQL注入攻击。为了成功利用这个靶场,我们需要了解如何绕过这些过滤机制,这通常涉及到一些...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
防止SQL注入的五种方法
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
sql注入过滤
wzx_it的专栏
12-20 526
///     /// Sql过滤器     ///     public class SqlCleaner     {         private static List injectWords = new List();         ///         /// 静态构造函数         ///         static SqlCleaner()
ctf sql注入关键词绕过【积累中】
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
基于springboot实现SQL注入过滤
zhangbeizhen18的博客
06-11 2734
记录:273 场景:以过滤器(Filter)的方式,对所有http请求的入参拦截,使用正则表达式匹配入参中的字符串。存在SQL注入风险的参数,中断请求,并立即返回提示信息。不存在SQL注入风险的参数,校验通过后,放入过滤器链,继续后续业务。......
深入了解SQL注入绕过waf和过滤机制
kendyhj9999的专栏
06-06 4281
深入了解SQL注入绕过waf和过滤机制 来源:http://drops.wooyun.org/tips/968 16人收藏 收藏 2014/03/02 13:24 | r00tgrok | 技术分享 | 占个座先 知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filte
springboot自带filter实现sql防注入过滤
leveretz的博客
12-29 2449
springboot自带filter实现sql防注入过滤
sql-labs宽字节注入
07-28
在宽字节注入中,攻击者通过在输入的数据中插入特殊编码的宽字节字符,绕过了数据库的输入过滤和检查,成功执行恶意的 SQL 语句。这种攻击技术主要针对使用双字节字符集编码(如 GBK、Big5 等)的数据库。 SQL-Labs...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值