前端的“SQL注入”,处理含有html标签的字符串

已于 2024-01-04 18:17:03 修改
阅读量214 收藏
点赞数
文章标签: 前端 html javascript
于 2023-08-10 15:13:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxk_ctrl/article/details/132209922
版权

前言

上个月写了一个老项目,用的语言是JQ,项目在测试的时候,遇到了测试人员的前端语言注入,在表单内容里输入了带有html标签的字符内容,导致列表崩溃。至今记忆尤深,今天看文章的时候看到了腾讯的这个方法,又重新写了一个demo。

核心方法

function htmlEncode(iStr) {
	let sStr = iStr;
	sStr = sStr.replace(/&/g, "&");
	sStr = sStr.replace(/>/g, ">");
	sStr = sStr.replace(/</g, "&lt;");
	sStr = sStr.replace(/"/g, "&quot;");
	sStr = sStr.replace(/'/g, "&#39;");
	return sStr;
}

该方法来自于腾讯的JavaScript安全指南

使用方法

const text = htmlEncode(value)

value:需要转换的字符串

Demo

效果

效果图

HTML
		<div class="content">
		
			<h3>新增表单</h3>
			<input id="a" type="text">
			<button type="submit" onclick="start()">保存</button>
			<p class="line"></p>
			
			<h3>列表</h3>
			<div id="list">
				<div class="box">
					<p>展示输入的数据</p>
				</div>
				<div class="box">
					<p>看看有没有影响</p>
				</div>
			</div>
			
			<button onclick="clearList()">清空</button>
		</div>
JS
		<script>
			function start() {
				const a = document.getElementById('a')
				const text = htmlEncode(a.value)
				const list=document.getElementById('list')
				let html=''
				html=`
					<div class="box">
						<p>展示输入的数据</p>
						<p>${text}</p>
					</div>
					<div class="box">
						<p>看看有没有影响</p>	
					</div>`
				list.innerHTML=html
			}
			
			function htmlEncode(iStr) {
				let sStr = iStr;
				sStr = sStr.replace(/&/g, "&amp;");
				sStr = sStr.replace(/>/g, "&gt;");
				sStr = sStr.replace(/</g, "&lt;");
				sStr = sStr.replace(/"/g, "&quot;");
				sStr = sStr.replace(/'/g, "&#39;");
				return sStr;
			}
			function clearList(){
				const list=document.getElementById('list')
				list.innerHTML=''
			}
		</script>
CSS
		<style>
			.content {
				width: 500px;
				margin: auto;
				border: 1px solid #ebeef5;
				box-shadow: 0 2px 12px 0 rgba(0, 0, 0, .1);
				text-align: center;
				border-radius: 4px;
				height: 1000px;
				overflow: auto;
			}

			input {
				border: 1px solid #ebeef5;
				padding: 7px 10px;
				border-radius: 4px;
				outline: none;
			}

			button {
				border: 1px solid #ebeef5;
				padding: 5px 10px;
				border-radius: 4px;
				margin-right: 10px;
				color: #fff;
				background-color: #409eff;
				border-color: #409eff;
			}
			.line{
				margin: 20px auto;
				border: 1px solid #ebeef5;
				box-shadow: 0 2px 12px 0 rgba(0, 0, 0, .1);
			}
			.list{
				text-align: center;
			}
			.box {
				width: 300px;
				height: 300px;
				box-shadow: 0 2px 12px 0 rgba(0, 0, 0, .1);
				text-align: center;
				line-height: 30px;
				border-radius: 4px;
				border: 1px solid #ebeef5;
				background-color: #fff;
				overflow: hidden;
				color: #303133;
				transition: .3s;
				letter-spacing: 3px;
				margin: 10px auto;
			}
		</style>
白茶_White
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
动态拼接sql语句工具类,拼接where后面语句
05-25
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入 if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){ sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE)); sqlParamList.add(new SqlParam("lat",maxLat, SqlOpEnum.LTE)); } Pair<String, Object[]> stringPair = SqlBuilderUtil.buildCondition(sqlParamList); String sql = String.format(ConstantSql.TEC_TJ_SQL, stringPair.getKey()); log.info("**sql语句:{}",sql);
html结尾的可以sql注入,【JS】前端安全-SQL注入、XSS、 CSRF
weixin_39637723的博客
06-28 289
首页专栏javascript文章详情1前端安全-SQL注入、XSS、 CSRFRunningfyy发布于 今天 06:551.SQL注入1.1定义所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。1.2原理:...
html页面 sql注入,一个容易的SQL注入
weixin_36483301的博客
06-03 1026
一个简单的SQL注入本例采用JSP+Servlet+Mysql:1. 数据库:数据库名:sqlinjectCREATE DATABASE sqlinject;建user表:Table: userCreate Table: CREATE TABLE `user` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(20) NOT NULL,`se...
java mybatis狂神说sql_以为用了 MyBatis 就万无一失了,没想到还是被黑客注入了!...
weixin_39719476的博客
11-20 103
点击上方蓝色字体,选择“设为星标”回复”666“获取面试宝典SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。一、Mybatis的SQL注入Mybatis的S...
常见SQL注入手法
weixin_57048716的博客
11-26 1590
1.联合查询 2.伪静态注入 3.宽字节注入 4.报错注入 5.基于布尔盲注 6.基于延时的盲注 7.堆叠注入 8.二次注入
WEB漏洞—SQL注入之简要SQL注入
qq_61861243的博客
04-12 484
SQL直接去对数据库中的数据进行操作(查询,更新,删除)SQL注入不同注入点是有条件的(权限)
SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
VictorZhang
07-30 5723
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https://github.com/webattacker/sqli-labs 将Sqli-labs解压后整个目录拖拽到路劲:C:\wamp64\www 下 3.在浏览器上访问http://localhost...
html sql注入_接口安全性测试技术(5):SQL注入
weixin_39636609的博客
12-01 123
DVWA环境搭建DVWA-1.0.7.zip http://IP:Port/dvwa/login.php。默认用户名 admin, 默认密码 password什么是SQL注入SQL注入是发生在应用程序数据库层的安全漏洞。简而言之,是输入的文本中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到破坏。SQL注入类型1.数字...
html sql注入_SQL注入特殊小技巧
weixin_39722188的博客
11-26 223
一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚小技巧在平常的SQL注入过程中,难免会存在一些敏感函数被过滤,或者被WAF识别所拦截。所以我们可以通过其他不常用的函数来绕过过滤,实现相同的效果。在此只通过MYSQL数据库来表达意思,其他数据库自行百度谷歌。。。。。。逻辑运算符注入过程中,用到最最最频繁的就是逻辑符号,像and 1=1、or 2&...
sql注入的一些理解
qq_51233573的博客
01-26 4193
前言: 第一个接触的漏洞就是sql注入,一个危害很大到现在都还在流行的漏洞。利用sql注入可以对网站进行脱库,也可以写入shell控制服务器。假期正好有时间,再一次梳理关于sql注入的一些知识。 自身理解: 我对这个漏洞的理解就是前端的数据可以直接传到后端并且执行(传到后端执行的数据主要是sql语句) sql注入的就是前端可以输入一些数据库的查询语句传到后端执行 查询一些重要的信息,列如管理员用户的账号和密码等。 dvwa靶场具体分析 结合dvwa靶场的sql注入环境的相关代码进行分析, 在p
Python sql注入 过滤字符串的非法字符实例
12-20
#在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符 def sql_filter(sql, max_length=20): dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#",...
.Net防sql注入的几种方法
01-01
sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行...
知乎大神萧井陌web前端课程
10-24
第8章 传统数据库、sql注入和mongo安装使用、mongo日常使用 第9章 前端基础、dom和事件、js todo 第10章 ajax 第11章 css 第12章 linux基础 第13章 flask框架 第14章 使用sshkey连接linux服务器、rsa原理和git软件...
Web应用安全:Sqlserver盲注.pptx
06-19
SQL盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 盲注分为三类: 1)基于布尔 SQL 盲注。 2)基于时间的 ...
element-ui的bug记录
nick_zhang的博客
04-29 303
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
【Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 822
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 255
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
vue实现录音并转文字功能,包括PC端web,手机端web
byebukesi的博客
04-26 544
不止vue,不限技术栈,vue2、vue3、react、.net以及原生js均可实现。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 232
createWs("测试数据", (res) => {
vue前端防止sql注入
08-22
在Vue前端中,为了防止SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询:在前端与后端的数据交互过程中,使用参数化查询(Prepared Statements)来构造SQL语句。通过预编译SQL语句,并将参数传递给数据库进行处理,可以有效地防止SQL注入攻击。例如,使用预编译类PreparedStatement来代替拼接字符串的方式构建SQL语句。 2. 对输入数据进行验证和过滤:在前端对用户输入的数据进行验证和过滤,确保只有合法的数据通过。可以使用正则表达式、白名单等方式对输入数据进行限制和过滤,防止恶意的SQL注入语句被执行。 3. 使用安全的框架和库:选择使用经过安全验证的框架和库,这些框架和库通常会提供一些安全机制和防护措施,帮助你有效地防止SQL注入攻击。 4. 限制数据库用户权限:在数据库层面,通过为数据库用户分配最小权限来限制其对数据库的操作范围,避免注入攻击对数据库的破坏。 总结起来,为了防止SQL注入攻击,需要在前端进行数据验证和过滤,使用参数化查询来构建SQL语句,并在数据库层面限制用户权限。这样可以有效地提高系统的安全性,防止SQL注入攻击的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [防止SQL注入](https://blog.csdn.net/u014644574/article/details/124452889)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [前端参数效验防止sql注入的方法](https://blog.csdn.net/weixin_43578304/article/details/127907126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值