sql 注入POST Get 请求参数到Body常用正则表达式

最新推荐文章于 2024-07-16 11:40:09 发布
最新推荐文章于 2024-07-16 11:40:09 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: .NetCore 文章标签: c# sql 注入 .netCore Body参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy5520/article/details/123868062
版权
本文介绍了在dotnet Core应用中如何检查SQL注入,重点关注POST请求的Body参数。通过ActionArguments、ActionDescriptor.Parameters以及读取Request.Body原始流来获取JSON数据,确保多次读取请求体的能力,以进行有效的SQL注入防护。
摘要由CSDN通过智能技术生成 
 private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
        private const string StrRegexSqlNew = "(?:')|(?:--)|(\\++)|(\\$)|(\\[])|(\\{})|(\\<>)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute|sleep|where|exec)\\b)";
        private const string StrKeyWord = "select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net local group administrators|net user|or|and";
        private const string StrSymbol = ";|%|*|'|!|`|~|#|$|^|&|*|()|=|{}|[]|;|<>|《》|?|--|++|‘|’";
        //private const string StrRegex1 = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|
最低0.47元/天 解锁文章
andy5520
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[Python从零到壹] 四.网络爬虫之入门基础及正则表达式抓取博客案例
杨秀璋的专栏
09-30 2万+
欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解,真心想把自己近十年的编程经验分享给大家。第四篇文章将开启网络爬虫之旅,首先介绍基础知识及正则表达式的爬虫,希望对您有所帮助,文章中不足之处也请海涵。
【jQuery】第七课——使用jquery制作表单校验提示特效,正则表达式的应用
王迪
09-28 1260
知识点:掌握string对象的用法、会使用正则表达式验证页面输入内容、会使用表单选择器。 1、表单基本验证技术 无论是动态网站,还是其他 B/S 结构的系统,都离不开表单。表单作为客户端向服务器端提交数据的主要载体,如果提交的数据不合法,将会引出各种各样的问题,那么如何避免这样的问题昵? 1.1 表单验证的必要性 有时,在用户填写表单时,我们希望...
javascript 使用正则表达式获取url里的GET参数
HXZz的博客
06-03 2081
前端页面经常用JS获取页面的GET参数,JS和PHP还不一样,PHP直接$_GET 数组就能获取值。而JS则需要一通操作来从url里获取GET参数,这里简单封装了一下方法。每次获取就只需要调用一下就OK了。 要想获取GET参数,首先要清楚GET参数是什么样的。下面是一个完整的url地址,格式如下: https://host:port/path?xxx=aaa&yyy=bbb --http/https:这个是协议类型。 --host:服务器的IP地址或者域名。 --port:HTTP服务..
java开发Sql注入检测正则表达式
s380203593的博客
06-18 2227
sql拼装过程中有时候需要把特殊外部的参数拼装到sql语句中去,若不检测外部传入的参数是否含有sql关键词,黑客利用系统这个漏洞注入sql脚本语句进行数据库删除或盗取数据资料。 sql非法注入检测正则表达式 \b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|decl...
SQL-正则表达式
最新发布
好好学习 天天向上
07-16 2051
正则表达式的用法非常灵活,可以根据具体的需求来选择合适的字符、特殊字符、量词、分组等来构建匹配规则。同时,正则表达式还支持一些高级的特性,如贪婪模式、非贪婪模式、修饰符等,可以进一步扩展正则表达式的功能。正则表达式的详细用法还有很多,可以根据具体的需求来选择合适的正则表达式和相应的函数来进行操作。:引用前面的分组,用于匹配相同的内容。:匹配前一个字符至少n次,最多m次。:匹配前一个字符0次或多次。:匹配前一个字符1次或多次。:匹配前一个字符0次或1次。:匹配前一个字符恰好n次。:匹配前一个字符至少n次。
SQL注入正则表达式
weixin_45634365的博客
02-17 4535
SQL注入SQL注入攻击的本质,就是把用户输入的数据当做代码执行。 这里有两个关键的条件: 1、用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1998年一名叫做rfp的黑客发表了一篇关于SQL注入的文章 首先查看登录处理代码: <meta charset='utf-8'> <?php @$username = $_REQUEST['username']; #用户名 @$password = $_REQUEST['password']; #密码 $conn
springboot 防请求过程sql注入-请求body加密
ruo_yuan
07-22 1685
springboot 防请求过程sql盲注-请求body加密 背景 博主好不容易熬到了项目终于把bug修改完毕,开始迎来了项目的安全测试和性能测试以及疲劳测试。于是就先做了安全测试,公司的安全测试目前是由软件完成的叫:Appscan 以及monkey(是开发的app)完成。扫描之后发现出现了十多个sql盲注问题。看到这问题内心是凉凉的,因为上一次扫描出了几十个盲注问题,让我改了很多代码。百度之后统一采用mybatis的#{}可以解决大部分盲注问题。因为我们项目业务比较复杂,所以里面有直接的jdbc操作,所以
java sql注入 正则表达式_sql注入之 update/insert/delete篇
weixin_39772420的博客
02-24 1125
1.(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用好处:(1).代码的可读性和可维护性.(2).PreparedStatement尽最大可能提高性能.(3).最重要的一点是极大地提高了安全性.原理:sql注入只对sql语句的准备(编译)过程有破坏作用而PreparedStatement已经准备好了,执...
sql注入知识点
m0_55772907的博客
04-27 3671
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
jmeter - 获取数据库表数据作为HTTP请求参数(mysql为例)
热门推荐
liangyoufei的专栏
11-04 1万+
目录 (一)下载对应数据库的jdbc驱动jar包 (二)Jmeter导入对应数据库的jdbc驱动jar包 (三)JMeter连接Mysql数据库 (四)创建线程组 (五)创建数据库请求 (六)把从数据库查得的数据作为另一个请求的入参(针对只有1行数据处理) 方法一:使用后置处理器BeanShell PostProcessor处理结果集数据,重构变量 方法二:不需要使用后置处理器Be...
正则表达式:url中get参数转换为json对象
qq_35451480的博客
08-03 631
例如url为 http://xxx/aaa.htm?name=fntest&args=uuid=3d08a748cd0211eaa25500163e0dcc57&params=just 1、首先获取到参数部分 var getURLParameter = function (name, uri) { var idx = uri.indexOf("?"); if (idx != -1) { var paramUrl = uri.substr(i
利用正则快速格式化请求参数
Jinyao的博客
04-22 201
利用正则快速格式化请求参数 待格式化字符串 username=cjy51320342&password=3723&_token=lHEkhng3WCjuwS1xlisBhmWF3sSDZKdtgV442WZu&_t=1555916658731 打开editplus,ctrl+f 格式化结果如下 'us...
C# 检查字符串,防SQL注入攻击
tlucia的专栏
11-10 545
这个例子里暂定为=号和号bool CheckParams(params object[] args){    string[] Lawlesses={"=",""};    if(Lawlesses==null||Lawlesses.Length    //构造正则表达式,例:Lawlesses是=号和号,则正则表达式为 .*[=}].*  (正则表达式相关内容请见MSDN)    //另
html 转义js
gergerman的专栏
11-06 1390
function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, ">"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); s = s.replace(/
Qt笔记-使用正则表达式匹配URL及获取Get请求后面的参数(QRegExp)
IT1995的博客
09-28 1487
如需要拿到xxxxx的值: http://www.it1995.cn/xxxxxxxx 代码如下: QRegExp regExp; regExp.setPattern("http://www.it1995.cn/([^()\"' ]*)"); 如现提取的url为: /db?table=myTable 对应的代码: //提取msg中的url和参数 QStringList list = msg.split("?"); this->m_baseUrl = lis
java中http请求外部接口的时候传递sql语句过程记录
Miracle.Zhao的博客
09-29 2763
第一次做这种对接外部(第三方)接口的开发。记录一下: 介于保密的原因,外部接口就不公开了。我的需求是根据第三方提供的接口,查询数据。但是我的请求是包含了sql语句的。类似于下面这样的URL: http://X.X.X.X/tb/re?select * from table where name='zhangsan' ?前面的是他们提供的接口。后面是我传的sql语句,当然还需要你的用户名密码或...
sql联合注入--Get传参
qq_57663276的博客
08-18 753
未知攻,何来防。网络安全靶场学习:sql,sql联合注入--Get方式传参。
Springboot中请求参数校验
hauchun的博客
03-11 2651
请求参数校验
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值