防SQL数字注入函数

最新推荐文章于 2023-02-07 17:43:52 发布
最新推荐文章于 2023-02-07 17:43:52 发布
阅读量825 收藏
点赞数
分类专栏: IIS 综合应用 ASP SQL 文章标签: sql function cookies html c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cncco/article/details/1810540
版权
ASP 同时被 3 个专栏收录
54 篇文章 0 订阅
订阅专栏
SQL
30 篇文章 0 订阅
订阅专栏
综合应用
18 篇文章 0 订阅
订阅专栏
防SQL注入函数

程序代码:
函数部分========================================================================
' ------------------------------------------------
' 用途:检查是否为数字,以及数字是否超出范围
' 输入:检查字符,传值方式(0直接传,1取Form,2取QueryString,3取cookies,4直接Reqeust),开始数字(默认数字),结束数字(为-1则不检查大小)
Function  CheckNum(str_str,int_quest,int_startnum,int_endnum)
mystr = Trim (str_str)
 Select   Case  int_quest
 Case   1
istr = Request.Form(mystr)
 Case   2
istr = Request.QueryString(mystr)
 Case   3
istr = Request.Cookies(mystr)
 Case   4
istr = Request(mystr)
 Case   Else
istr = mystr
 End   Select
istr = Left (istr, 32
If   IsNumeric (istr)  Then
iNum = CDbl (istr)
 Else
iNum = int_startnum
 End   If
If  int_endnum >- 1 Then
If  iNum  If  iNum > int_endnum  Then  iNum = int_endnum 
 End   If
CheckNum = iNum
 End Function
' ------------------------------------------------
' 用途:检查过滤字符串
' 输入:字符串,传值方式(0直接传,1取Form,2取QueryString,3取cookies,4直接Reqeust),检查方式(1不过滤html,2纯html,3标题过滤,4其他html过滤,),字符段截取长度
Function  CheckStr(str_str,int_quest,int_type,int_strlen)
mystr = str_str
 Select   Case  int_quest
 Case   1
istr = Request.Form(mystr)
 Case   2
istr = Request.QueryString(mystr)
 Case   3
istr = Request.Cookies(mystr)
 Case   4
istr = Request(mystr)
 Case   Else
istr = mystr
 End   Select  
istr = "" & Trim (istr)
istr = Replace (istr, " ' " , " '' " )
 Select   Case  int_type
 Case   1  
istr = Replace (istr, CHR ( 32 ), "   " )
istr = Replace (istr, CHR ( 9 ), "   " )
istr = Replace (istr, CHR ( 10 &   CHR ( 10 ), "
" )
istr = Replace (istr, CHR ( 10 ), "
" )
istr = Replace (istr, CHR ( 13 ), "" )
 Case   2
istr = istr
 Case   3
istr = Replace (istr, CHR ( 32 ), "   " )
istr = Replace (istr, CHR ( 9 ), "   " )
istr = Replace (istr, CHR ( 13 ),  "" )
istr = Replace (istr, " < " , " < " )
istr = Replace (istr, " > " , " > "
istr = Replace (istr, CHR ( 34 ), " "") 
istr = Replace (istr, "   " , "   " )
istr = Replace (istr, CHR ( 39 ),  " ' " )
 Case   Else
istr = Replace (istr, CHR ( 32 ), "   " )
istr = Replace (istr, CHR ( 9 ), "   " )
istr = Replace (istr, CHR ( 10 &   CHR ( 10 ),  "
" )
istr = Replace (istr, CHR ( 10 ),  "
" )
istr = Replace (istr, CHR ( 13 ),  "" )
istr = Replace (istr, " < " , " < " )
istr = Replace (istr, " > " , " > "
istr = Replace (istr, CHR ( 34 ), " "") 
istr = Replace (istr, "   " , "   " )
istr = Replace (istr, CHR ( 39 ),  " ' " )
 End   select
istr = CutStr(istr,int_strlen, "" )
CheckStr = istr
 End Function
' ------------------------------------------------
' 用途:截取字符串
' 输入:字符串,字符段截取长度,超过部分字符
Function  CutStr(str_str,int_strlen,str_addtrr)
 Dim  k,i
k = 0  
 For  i = 1   to   Len (str_str)
c = Abs ( Asc ( Mid (str_str,i, 1 )))
 If  c > 255   Then
k = k + 2
Else
k = k + 1
End   If
If  k >= int_strlen  Then   Exit   For
Next
CutStr = Left (str_str,k) & str_addtrr
 End Function  

cncco
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
discuz的phpsql注入函数
12-17
论坛的注入函数,这些函数包括`daddslashes()`、`inject_check()`、`verify_id()`、`str_check()`以及`post_check()`。 1. `daddslashes()`函数:这个函数的作用是对字符串进行转义,添加反斜杠 `\` 在可能引起...
易语言源码易语言SQL注入源码.rar
02-17
在这个“易语言源码易语言SQL注入源码.rar”压缩包中,包含的是易语言编写的关于SQL注入的源代码。SQL注入是一种常见的网络安全攻击手段,通过构造恶意的SQL语句,攻击者可以绕过身份验证,获取、修改、删除...
mysql注入函数
03-10 2655
1.addslashes(): 函数返回在预定义字符之前添加反斜杠的字符串。预定义的字符有: 单引号(') 双引号(") 反斜杠(\) NULLeg:if(!get_magic_quotes_gpc()){ addslashes($str); }2.mysql_real_escape_string(): 函数转义 SQL 语句中使用的字符串中的特殊字符。
一个SQL注入函数
09-04 85
在网上搜索了半天,搜出来的代码不是检测到sql关键字提示用户改就是直接替换SQL关键字,而且有很多代码还没有注意到关键字大小写问题。所以代码多少有写缺陷和不完美。 后来自己想到将所有代码编码成utf8或其他编码,现实的时候再解码,但是这样的处理量十分大。可用程度不高。后来忽然想到网页显示的时候常常将空格用“&nbsp;”代替。这样一来,本来一条正常的SQL语句“selectn...
SQL 注入及预
IT__learning的博客
08-27 1424
1、什么是 sql 注入 SQL 注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。 这种网站内部直接发送的 sql 请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的参数被注入Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的用户输入参数进行审查,那么这些注入进去的恶意 sql 就会被数据库服
SQL注入常用函数
asli33的专栏
02-15 806
SQL注入常用函数    有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。 Access:asc(字符) SQLServer:unicode(字符)    作用:返回某字符的ASCII码 Access:chr(数字) SQLServer:nchar(数字)    作用:与asc
SQL注入的方法总结
12-15
这可以通过转换尝试或使用正则表达式来实现,止非数字内容被当作SQL代码执行。 3. **使用安全的函数或库**: 如MySQLCodec和OWASP ESAPI(Enterprise Security API)等库提供了安全的函数,用于对用户输入进行...
sql注入讲解ppt.pptx
08-10
1. 数字SQL 注入:使用数字注入 SQL 语句。 2. 字符串型 SQL 注入:使用字符串来注入 SQL 语句。 3. 时间延迟型 SQL 注入:使用时间延迟来注入 SQL 语句。 4. 布尔盲注:使用布尔逻辑来注入 SQL 语句。 七、...
案例预SQL注入漏洞函数
10-31
这种方法可以止某些利用非数字字符构造的SQL注入攻击,但仍然不足以御所有类型的SQL注入。 最后,作者进一步改进了`checkStr`函数,增加了对更多SQL关键字的过滤,如`asc`(升序排序)、`mid`(提取子字符串)...
SQL注入攻击分为几类?如何御?
m0_60571990的博客
10-31 968
SQL注入攻击分为几类?如何御?
SQL注入攻击原理及护方案
最新发布
zhendaaaaaaaaaa的博客
02-07 2026
SQL注入攻击是对web应用程序最常见的攻击之一。1、Web应用火墙(WAF)拥有丰富的安全检测功能,能够有效的检测SQL注入攻击、XSS攻击、文件包含攻击、跨站点请求伪造(CSRF)攻击等多种攻击行为,有效的阻止非法攻击。1、结构化查询语言(SQL)注入:这种攻击方式通过在正常已有的SQL指令中加入恶意语句,从而改变数据库查询的结果,或者把数据库查询的结果暴露出来。2、Web应用火墙(WAF)具备强大的应用程序御功能,可以有效的SQL注入攻击、XSS攻击等多种攻击行为,有效的保护网站应用程序。
SQL注入攻击及
AlphaFinance
12-09 2205
为了SQL注入攻击,需要采取以下措施:一、对用户输入进行严格限制和过滤,应用程序应该严格限制用户输入的内容,只允许用户输入预定义的字符集,并对用户输入进行过滤,拒绝包含特殊字符的输入。二、使用参数化查询,参数化查询是指在执行SQL语句时,将用户输入的参数单独作为参数传入,而不是将用户输入的内容直接拼接到SQL语句中。通常情况下,SQL注入攻击是利用应用程序接受用户输入的漏洞,将恶意代码作为用户输入传入应用程序,让应用程序将恶意代码当作正常的SQL语句执行。
php中addslashes函数sql注入
Armin
03-07 985
本文实例讲述了php中addslashes函数sql注入。分享给大家供大家参考。具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下: 复制代码代码如下: echo addcslashes('foo[ ]','a..z'); //输出:foo[
SQL注入基本类型以及如何sql注入
changjiangWang的博客
07-07 422
注入类型:1.数字注入select *  from users where name = jack  and password = 1 or 1=1  (password )2.字符串注入select * from user where name =  jack # and password = sdjakfjsadklfjklsdfdkls (# ,-- 符号后的sql语句都被注释掉了)预SQ...
sql数字类型,尽量避免默认值使用NULL
03-31 375
开发过程中,由于之前有个字段A为数字类型且默认值设置为NULL,也就是说在插入时没指定值默认为(NULL),这导致后面再做部分统计时,存在另一个字段B也是数字类型,在统计A+B字段和时如果其中有一个值为(NULL)则相加后的值仍为(NULL)。比例A值为(NULL),B值为2.5,则sql语句SELECT NULL + 2.5;查询出来的结果为(NULL)。这可能与我们期望获得的结果不一样。 ...
正则表达式SQL注入函数
小丸子的专栏
10-08 8105
<br />       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数写一个SQL注入函数函数就未免有点繁琐了。下面这个是我自己写的SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br
sql注入的几个简单函数应用
不负好时光的博客
09-18 2848
几个简单的函数有:  trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符(或者其他字符) 此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数,trim() 将去除这些字符: " " (ASCII 32 (0x20)),普通空格符。 "\t" (
SQL数字注入
kuiguowei的博客
01-12 9598
SQL注入攻击的产生 当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击。 如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生SQL注入SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。在
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值