Sql 防注入方法

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量187 收藏
点赞数
分类专栏: ASP.NET Technology 文章标签: sql string asp.net null cookies c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beichen_/article/details/5128070
版权

public static  void JK1986_CheckSql()  

    {  

        string jk1986_sql = "exec↓select↓drop↓alter↓exists↓union↓and↓or↓xor↓order↓mid↓asc↓execute↓xp_cmdshell↓insert↓update↓delete↓join↓declare↓char↓sp_oacreate↓wscript.shell↓xp_regwrite↓'↓;↓--";  

        string[] jk_sql = jk1986_sql.Split('↓');  

        foreach (string jk in jk_sql)  

        {  

            // -----------------------防 Post 注入-----------------------  

            if ( System.Web.HttpContext.Current.Request.Form != null)  

            {  

                for (int k = 0; k < System.Web.HttpContext.Current.Request.Form.Count; k++)  

                {  

                    string getsqlkey = System.Web.HttpContext.Current.Request.Form.Keys[k];  

                    string getip;  

                    if (System.Web.HttpContext.Current.Request.Form[getsqlkey].ToLower().Contains(jk) == true)  

                    {  

                       System.Web.HttpContext.Current.Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )防注入程序提示您,请勿提交非法字符!↓//n//nBlog:http://hi.baidu.com/ahhacker86 //n//nBy:aa && JK1986');</" + "script>");  

                       System.Web.HttpContext.Current.Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");  

                       if (System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];  

                        }  

                        else  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];  

                        }  

                        System.Web.HttpContext.Current.Response.Write("操 作 I  P :" + getip + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 页 面:" + System.Web.HttpContext.Current.Request.ServerVariables["URL"] + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 方 式:P O S T " + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 参 数:" + jk + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 数 据:" + System.Web.HttpContext.Current.Request.Form[getsqlkey].ToLower() + "<br>");  

                        System.Web.HttpContext.Current.Response.End();  

                    }  

                }  

            }  

            // -----------------------防 GET 注入-----------------------  

            if (System.Web.HttpContext.Current.Request.QueryString != null)  

            {  

                for (int k = 0; k < System.Web.HttpContext.Current.Request.QueryString.Count; k++)  

                {  

                    string getsqlkey = System.Web.HttpContext.Current.Request.QueryString.Keys[k];  

                    string getip;  

                    if (System.Web.HttpContext.Current.Request.QueryString[getsqlkey].ToLower().Contains(jk) == true)  

                    {  

                        System.Web.HttpContext.Current.Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )防注入程序提示您,请勿提交非法字符!↓//n//nBlog:http://hi.baidu.com/ahhacker86 //n//nBy:aa && JK1986');</" + "script>");  

                        System.Web.HttpContext.Current.Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");  

                        if (System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];  

                        }  

                        else  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];  

                        }  

                        System.Web.HttpContext.Current.Response.Write("操 作 I  P :" + getip + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 页 面:" + System.Web.HttpContext.Current.Request.ServerVariables["URL"] + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 方 式:G E T " + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 参 数:" + jk + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 数 据:" + System.Web.HttpContext.Current.Request.QueryString[getsqlkey].ToLower() + "<br>");  

                        System.Web.HttpContext.Current.Response.End();  

                    }  

                }  

            }  

 

            // -----------------------防 Cookies 注入-----------------------  

            if (System.Web.HttpContext.Current.Request.Cookies != null)  

            {  

                for (int k = 0; k < System.Web.HttpContext.Current.Request.Cookies.Count; k++)  

                {  

                    string getsqlkey = System.Web.HttpContext.Current.Request.Cookies.Keys[k];  

                    string getip;  

                    if (System.Web.HttpContext.Current.Request.Cookies[getsqlkey].Value.ToLower().Contains(jk) == true)  

                    {  

                        System.Web.HttpContext.Current.Response.Write("<script Language=JavaScript>alert('ASP.NET( C#版本 )防注入程序提示您,请勿提交非法字符!↓//n//nBlog:http://hi.baidu.com/ahhacker86 //n//nBy:aa && JK1986');</" + "script>");  

                        System.Web.HttpContext.Current.Response.Write("非法操作!系统做了如下记录 ↓" + "<br>");  

                        if (System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];  

                        }  

                        else  

                        {  

                            getip = System.Web.HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];  

                        }  

                        System.Web.HttpContext.Current.Response.Write("操 作 I  P :" + getip + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 时 间:" + DateTime.Now.ToString() + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("操 作 页 面:" + System.Web.HttpContext.Current.Request.ServerVariables["URL"] + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 方 式: Cookies " + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 参 数:" + jk + "<br>");  

                        System.Web.HttpContext.Current.Response.Write("提 交 数 据:" + System.Web.HttpContext.Current.Request.Cookies[getsqlkey].Value.ToLower() + "<br>");  

                        System.Web.HttpContext.Current.Response.End();  

                    }  

                }  

            }  

 

}

 }  

beichen_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql注入方法_止SQL注入的六种方法
weixin_36428079的博客
02-02 5097
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
ASP SQL注入方法
09-06
前一篇我们介绍了一种SQL注入的终极方法,也就是最原始、最简单、最有效也是最通用的方法,就是数据类型的检查加单引号的处理,具体的内容前面一篇已经介绍过了,这里我就不重复了
sql注入详解
热门推荐
good good study
05-05 19万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2633
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashesSQL注入,还是建议大家加强中文SQL注入的检查。
SQL注入攻击与
weixin_62707591的博客
06-21 5465
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
SQL注入工具类
点点的博客
06-26 5923
import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import javax.servlet.http.HttpServletRequest; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * sql注入处理工具类 */ @Slf4j public class SqlInjectionUtil { /** *
mybatis能否预SQL注入
春风化雨
03-06 1368
1、概念:什么是sql注入 SQL注入:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中。 它一种常见的攻击方式。攻击者在界面的表单信息或者URL上输入一些特殊的SQL片段(比如“OR1=1”),就有可能入侵参数检验不完善的应用程序。所以,应用开发中需做一些工作,来SQL注入。一些对安全性要求很高的应用中(如银行软件),通常使用将SQL语句全部替换为存储过程的方式,以SQL注入。是一种很安全的处理方式。 答案:mybatis是能够SQL注入的,请继续阅.
SQL注入正则表达式
绅士jiejie的博客
07-16 2384
SQL注入正则表达式
SQL注入的几种方法
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
05-08 1万+
一、什么是sql注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求...
PHPSQL注入方法
tongluren381的博客
10-20 3724
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
避免sql注入方法
春风化雨
12-17 759
1、使用预处理 PreparedStatement mybatissql注入: # 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。 $ 将传入的数据直接将参数拼接在sql中。 #与$相比,#可以很大程度的sql注入,因为对sql做了预编译处理。 2、使用正则表达式过滤掉字符中的特殊字符 即对你参数进行合理教研,避免sql拼接恶意脚本。 ...
C#SQL注入代码的三种方法
09-04
主要介绍了C#SQL注入代码的三种方法,有需要的朋友可以参考一下
php简单实现sql注入方法
12-18
本文实例讲述了php简单实现sql注入方法。分享给大家供大家参考,具体如下: 这里没有太多的过滤,主要是针对php和mysql的组合。 一般性的注入,只要使用php的 addslashes 函数就可以了。 以下是一段copy来的...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
DataFormatString的用法相关的整理
03-17 2775
VS2005下BoundField列如何使用DataFormatString属性  HtmlEncode="False" 完整日期时间格式 (long date + long time) dddd, MMMM dd, yyyy HH:mm:ss g 一般格式 (short date + short time) MM/dd/yyyy HH:mm G 一般格式 (short d
SqlHelper类的方法
03-06 2110
 using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI.WebControls.
ASP.NET 在线客服源码
03-18 724
var online= new Array(); http://webpresence.qq.com/getonline?Type=1&13137813:">> if (online[0]==0) document.write(" 客服不在线,请留言>qq号码"); else document.write(" 在线即时交谈>qq号码");
点击链接弹出一个新窗口,并返回一个值到本页面
04-18 685
(一)调用链接的click事件     function showMallWinodw() { var result=window.showModalDialog("MallWindow.aspx","","dialogWidth: 820px;dialogHeight: 600px;help:0;resizable:0;center:1;location:0;scro
ASP.NET 编写Google搜索框
03-18 672
ASP.NET 编写Google搜索框     无标题页        搜索是最好的老师,要善用搜索!!!    http://www.google.com/">http://www.google.com/logos/Logo_25wht.gif" align="middle" border="0" />      
c++ sql语句注入方法
最新发布
11-11
以下是C++中SQL注入的几种方法: 1.使用参数化查询:参数化查询是一种预编译的SQL语句,其中所有的参数都是使用占位符表示的。这种方法可以SQL注入攻击,因为参数值不会被解释为SQL命令的一部分。 2.过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值