过滤SQL关键字 防注入

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量406 收藏
点赞数
文章标签: c#
hzm
本文链接:https://blog.csdn.net/hhzzmm123456/article/details/109840432
版权 
  /// <summary>
    /// 过滤SQL关键字 防注入
    /// </summary>
    /// <param name="sWord">来自用户输入的字符串</param>
    /// <returns></returns>
    public static string FilterIllegalChar(string Htmlstring)
    {
        if (Htmlstring == "") //如果字符串为空,直接返回。
        {
            return Htmlstring;
        }
        else
        {
            Htmlstring = Regex.Replace(Htmlstring, "select", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "insert", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "delete from", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "count''", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "drop table", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "truncate", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "asc", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "mid", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "char", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "exec master", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "and", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net user", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, " or ", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "net", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "delete", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "drop", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "script", "", RegexOptions.IgnoreCase);
            Htmlstring = Regex.Replace(Htmlstring, "'", "");
            Htmlstring = Regex.Replace(Htmlstring, "<", "");
            Htmlstring = Regex.Replace(Htmlstring, ">", "");
            Htmlstring = Regex.Replace(Htmlstring, "%", "");
            Htmlstring = Regex.Replace(Htmlstring, "''", "");
            Htmlstring = Regex.Replace(Htmlstring, "\"\"", "");
            Htmlstring = Regex.Replace(Htmlstring, ",", "");
            Htmlstring = Regex.Replace(Htmlstring, "\\.", "");
            Htmlstring = Regex.Replace(Htmlstring, ">=", "");
            Htmlstring = Regex.Replace(Htmlstring, "=<", "");
            Htmlstring = Regex.Replace(Htmlstring, "-", "");
            Htmlstring = Regex.Replace(Htmlstring, "_", "");
            Htmlstring = Regex.Replace(Htmlstring, ";", "");
            Htmlstring = Regex.Replace(Htmlstring, "||", "");
            Htmlstring = Regex.Replace(Htmlstring, "\\[", "");
            Htmlstring = Regex.Replace(Htmlstring, "]", "");
            Htmlstring = Regex.Replace(Htmlstring, "&", "");
            Htmlstring = Regex.Replace(Htmlstring, "/", "");
            Htmlstring = Regex.Replace(Htmlstring, "-", "");
            Htmlstring = Regex.Replace(Htmlstring, "|", "");
            Htmlstring = Regex.Replace(Htmlstring, "\\?", "");
            Htmlstring = Regex.Replace(Htmlstring, ">?", "");
            Htmlstring = Regex.Replace(Htmlstring, "\\?<", "");
            Htmlstring = Regex.Replace(Htmlstring, " ", "");

            return Htmlstring;
        }
    }
ww,pw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过滤SQL关键字SQL注入
打酱油的男神
06-20 1万+
定义一个方法进行关键字过滤,方法中使用正则表达式过滤:///&lt;summary&gt; /// 过滤字符串中注入SQL脚本的方法 ///&lt;/summary&gt; ///&lt;param name="source"&gt;传入的字符串&lt;/param&gt; ///&lt;returns&gt;过滤后的字符串&lt;..
sql注入关键字大全
07-27
sql注入关键字大全,包括sqlserve , odbc,等
Java项目SQL注入的四种方案
最新发布
Wewe的博客
05-15 392
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
sql注入
weixin_43778463的博客
09-19 382
sql注入
sql关键字过滤C#方法
weixin_30915275的博客
09-04 173
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> public bool SqlFilter(strin...
sql注入,过滤敏感关键字
weixin_33695082的博客
07-29 835
//sql过滤关键字 public static bool CheckKeyWord(string sWord) { //过滤关键字 string StrKeyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_...
C# MVC 过滤SQL注入
09-15
C# MVC 过滤SQL注入
注入过滤关键字
12-21
在给定的部分内容中,列举了一系列典型的SQL关键字和函数,这些都是在实施注入过滤时需要特别关注的对象。下面,我们将对这些关键字逐一解析,以深入了解其潜在的危害以及相应的范措施: 1. **select**: 这是最...
SQL.rar_SQL注入
09-24
通常,这样的系统会检查输入是否包含SQL关键字、特殊字符或者尝试执行数据库级别的操作,如修改数据、删除记录等。通过在每个可能接受用户输入的SQL查询之前调用这些函数,可以极大地增强系统的安全性。 “Neeao_...
输入值/表单提交参数过滤有效sql注入的方法
10-26
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改、删除敏感数据,甚至完全控制服务器。为了止这种攻击,开发者需要对用户输入进行严格的过滤和验证,这就是输入值/...
sql注入过滤字典.txt
10-15
为了范此类攻击,开发人员通常会采用一些过滤机制来剔除可能引起SQL注入风险的特殊字符或关键字。 #### 二、SQL注入过滤字典中的特殊字符 SQL注入过滤字典中列出了大量的特殊字符,这些字符通常被用于构建SQL注入...
如何避免SQL注入
木易三水良
01-27 1095
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
关于网站SQL注入使用关键字过滤SQL注入
longlong821的专栏
07-17 2258
1:最好的2种都用 2:如果只选一种最好使用SQL参数 因为过滤方法可能会有漏掉一些 但SQL参数基本可以杜绝 3:使用过滤方法 需要在不安全的输入(所有用户输入)都使用,SQL参数可以分3种情况(条件全=的可自动生成,其他操作符 可以条件字符串+SQL参数数组 ,安全条件直接丢sql
过滤sql注入关键字
ZHOU7605的博客
09-20 1017
//过滤sql注入关键字 function filter_sql($str){ if (empty($str)) return false; $str = htmlspecialchars($str); $str = str_replace( '/', "", $str); $str = str_r...
过滤SQL注入
yansong_8686的专栏
12-07 2393
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏 忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 filter功能.它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够 在一个request到达servlet之前预处理r
SQL注入御之二——注入关键词过滤(PHP)
热门推荐
心有猛虎,细嗅蔷薇!
08-23 1万+
SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 概述  欢迎来到本人的SQL注入御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受
【数据库】 sql注入,过滤敏感关键字
weixin_30588907的博客
11-21 254
private bool FilterIllegalChar(string sWord) { var result = false; var keyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6517
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
springboot自带filter实现sql注入过滤
leveretz的博客
12-29 2495
springboot自带filter实现sql注入过滤
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值