过滤SQL注入和万能登录语句 の 各类函数及正则过滤总结

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: # ——【 SQL Inject】 ★ PHP

       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数写一个防SQL注入函数的函数就未免有点繁琐了。下面这个是我自己写的防SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。

function clean($str)
{
     $str=trim($str);
     $str=strip_tags($str);
     $str=stripslashes($str);
     $str=addslashes($str);
     $str=rawurldecode($str);
     $str=quotemeta($str);
     $str=htmlspecialchars($str);
     $str=preg_replace("//+|/*|/`|//|/-|/$|/#|/^|/!|/@|/%|/&|/~|/^|/[|/]|/'|/", "", $str);
     //去除特殊符号+*`/-$#^~!@#$%&[]'"
     $str=preg_replace("//s/", "", $str);
     //去除空格、换行符、制表符
     return $str;
}
烟敛寒林o
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1134
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
预防sql注入安全的函数
03-14 1427
<br />预防sql注入安全的函数<br /><br />定义和用法<br />mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。<br />下列字符受影响:<br />/x00 <br />/n <br />/r <br />/ <br />' <br />" <br />/x1a <br />如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。<br />语法<br />mysql_real_escape_string(string
正则表达式防SQL注入函数
小丸子的专栏
10-08 8105
<br />       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数一个SQL注入函数函数就未免有点繁琐了。下面这个是我自己写的防SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br
Java实现登录过滤拦截(LoginFilter)
Chehongdeng的博客
03-16 5593
Java实现登录过滤拦截(LoginFilter) 1、首先获取请求的地址,使用: request.getRequestURI(); 2、判断请求的地址是否是登录的jsp、servlet,以及一些静态资源如:css,img,js等。 如果是,直接放行; 如果不是,则跳转到登录界面login.jsp 3、代码实现如下:
防止xss和sql注入:JS特殊字符过滤正则
10-27
总结起来,防止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
replace MYSQL字符替换函数sql语句分享(正则判断)
01-21
代码如下:Update dede_addonsoft SET dxylink=REPLACE(dxylink, ‘.zip’, ‘.rar... :正则匹配,把field字段里的 .rar 替换为 .7z MySQL正则表达式替换,字符替换方法 两句SQL,都是字符替换,比较好用。 update com
php防止sql注入示例分析和几种常见攻击正则表达式
12-19
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。在PHP中,防止SQL注入是非常重要的。以下是对标题和描述中涉及的知识点的详细说明: 1. **自定义...
php防止sql注入过滤分页参数实例
10-25
在PHP编程中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库。分页功能通常涉及用户输入的参数,如页码,这为SQL注入提供了一个潜在的入口点。因此,为了确保应用程序的安全性,...
sql注入常见绕过方法
ljlrookiebird的博客
09-05 4087
sql注入是web安全的常见漏洞,这里总结下常见的绕过姿势,还有其他没总结到了,小伙伴可以留言补充
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 493
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
SQL防注入过滤函数
“小学生”的专栏
01-07 506
今天在google输入"aspx 防注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL防注入过滤函数****************************************************过程名:Check
防止sql注入的几个简单函数应用
不负好时光的博客
09-18 2848
几个简单的函数有:  trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符(或者其他字符) 此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数,trim() 将去除这些字符: " " (ASCII 32 (0x20)),普通空格符。 "\t" (
PHP常见的SQL防注入方法
weixin_43741253的博客
09-22 2878
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
SQL注入正则表达式
weixin_45634365的博客
02-17 4465
SQL注入SQL注入攻击的本质,就是把用户输入的数据当做代码执行。 这里有两个关键的条件: 1、用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1998年一名叫做rfp的黑客发表了一篇关于SQL注入的文章 首先查看登录处理代码: <meta charset='utf-8'> <?php @$username = $_REQUEST['username']; #用户名 @$password = $_REQUEST['password']; #密码 $conn
正则表达式防止SQL注入
温水中的青蛙
08-20 2682
本来对正则表达式不是很了解,但由于项目需要,项目主要没有采用存储过程方式来存储 SQL语句,所以很有可能被黑客用SQL注入攻击,现在就在网上找了找解决办法,在业务层来过滤SQL语句,防止SQL注入攻击,主要是采用了正则表达式,因为正则表达式对字符串的操作是很强大的.首先用一个Validate()类来封装正则表达式和相关操作:    //验证是否有SQL注入字符    private bool Va
1、SQL注入漏洞
sigali的博客
03-14 2983
1、SQL注入漏洞 1.1、SQL注入漏洞产生原因及危害 SQL注入漏洞是指攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,而网站应用程序未对其进行过滤,将恶意SQL语句带入数据库使恶意SQL语句得以执行,从而使攻击者通过数据库获取敏感信息或者执行其他恶意操作。 SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改等!! 二级标题 三级标题 四级标题 五级标题 六级标题 。 ...
2023年防sql注入全面过滤 asp防sql注入代码大全
最新发布
10-24
防止 SQL 注入攻击是应用程序开发中的一个重要问题。ASP 是一种流行的服务器端脚本语言,用于动态生成网页。在编写 ASP 代码时,我们需要采取一系列措施来防止 SQL 注入攻击。 首先,我们需要对输入数据进行验证和过滤。在接收用户输入之前,可以使用内置的 ASP 函数如`Trim()`,`Replace()`等来去除输入数据中的空格和特殊字符。还可以使用正则表达式来验证输入数据的格式,确保其符合预期。 其次,我们需要使用参数化查询来构建 SQL 语句。参数化查询会将用户输入作为参数传递给数据库,而不是将其直接拼接到 SQL 语句中。这样做可以防止攻击者通过注入恶意 SQL 代码来破坏数据库。 除了参数化查询,还可以使用存储过程或预编译语句来执行数据库操作。这样可以将 SQL 查询提前编译好并存储在数据库中,避免每次执行查询时都重新解析 SQL 语句,减少注入攻击的可能性。 此外,我们还可以限制数据库用户的权限,并定期更新数据库管理员的密码。只有授权用户才能执行特定的 SQL 查询操作,这可以降低 SQL 注入攻击的风险。 最后,我们需要对错误信息进行处理,避免将详细的错误信息暴露给用户。攻击者可以利用错误信息来获取有关数据库结构和配置的敏感信息,因此我们应该在生产环境中禁用错误信息的显示,只记录错误日志以便以后的审计和修复。 总之,为了防止 SQL 注入攻击,我们需要综合使用验证和过滤输入数据、参数化查询、存储过程或预编译语句、限制用户权限以及处理错误信息等多种技术手段。这些措施的综合使用可以提高应用程序的安全性,并保护数据库免受 SQL 注入攻击的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值