防止SQL注入和跨站脚本攻击

最新推荐文章于 2021-08-02 17:36:56 发布
最新推荐文章于 2021-08-02 17:36:56 发布
阅读量762 收藏
点赞数
文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i5252592/article/details/84714282
版权 


public class SecurityCommLocalUtil {

	// 防范跨站脚本攻击应该检查以下特殊字符
	public static String checkHtmlEncode(String sText) {

		if (null == sText || sText.length() < 1)
			return "";

		sText = sText.replaceAll("&", "&");
		sText = sText.replaceAll("#", "#");
		sText = sText.replaceAll("’", "&quote;");
		sText = sText.replaceAll("\"", "&quote;");
		sText = sText.replaceAll("<", "<");
		sText = sText.replaceAll(">", ">");

		return sText;
	}

	/**
	 * 根据传入参数进行SQL注入处理
	 * 
	 * @param param
	 *            需要过滤的字符串
	 * @return 字符串
	 */
	public static String checkSQLImmit(String param) {
		if (null != param && param.length() > 0) {
			String[] checkstrLower = new String[] { "select ", "and ", "or ",
					"update ", "delete ", "insert ", " sysibm", ";", " dual",
					" declare", "/*", " systables", "length ", " substr", "'", "<",
					">", "`" };

			String[] checkstrUpper = new String[] { "SELECT ", "AND ", "OR ",
					"UPDATE ", "DELETE ", "INSERT ", " SYSIBM", ";", " DUAL",
					" DECLARE", "/*", " SYSTABLES", "LENGTH ", " SUBSTR", "'", "<",
					">", "`" };

			for (String check : checkstrLower) {
				if (param.indexOf(check) != -1) {
					Pattern p = Pattern
							.compile(check, Pattern.CASE_INSENSITIVE);
					param = p.matcher(param).replaceAll(" ");
				}
			}
			for (String check : checkstrUpper) {
				if (param.indexOf(check) != -1) {
					Pattern p = Pattern
							.compile(check, Pattern.CASE_INSENSITIVE);
					param = p.matcher(param).replaceAll(" ");
				}
			}

		}

		return param;
	}
}


在jsp页面中用该方法包裹request.getAttribute()
i5252592
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SQL注入跨站点脚本
04-08
C#中,为了防止SQL注入,开发者应遵循以下最佳实践: 1. **参数化查询**:使用参数化查询(如使用`SqlCommand`的`Parameters`集合),可以确保即使输入包含SQL代码,也不会被执行。 2. **存储过程**:使用存储过程...
php 防止跨站脚本攻击,php防止sql注入以及xss跨站脚本攻击
weixin_32760125的博客
03-09 189
1.post数据封装转义函数 防sql注入 eag:addslashes($username);​addslashes($password);​eag:防止sql注入函数封装function deepslashes($data){#判断$data的表现形式 并且需要处理空的情况if(empty($data)){return($data);}​#高级简写 return is_array($data...
防止SQL注入和XSS跨站攻击代码
融化的雪的专栏
07-03 5065
这两天用360网站安全检测网站,检测出SQL注入漏洞和
sql注入和跨脚本攻击
iteye_4696的博客
03-01 273
公司做的一个web项目中有这个功能,记录并学习下。在web系统中很多页面有文本输入的功能,有些不严谨的程序,通过写一些特殊字符,js片段,sql脚步会导致程序出现bug,现在通过一个统一的功能进行屏蔽。主要通过过滤器、xml解析的机制实现。 1、首先在web.xml里面增加过滤器配置。 [code="java"] webSecurityFilter com....
Postgresql 防止sql注入执行方式,使用nodejs实现
一醉千秋的专栏
04-27 1929
1.不使用字符串拼接sql,直接编写位置的sql带参数语句,例如: select gid as objectid,name,height,houseid,ST_AsGeoJson(geom) as geometry from changqing_polygon_house where height>$1 含有like的语句,用其他关键字~* 代替 ,还有其他的关键字。。。 sele...
Web安全——跨站脚本攻击(XSS)
Newscoo的博客
08-02 736
跨站脚本攻击(XSS)什么是XSS?一、XSS的分类1、反射型XSS2、存储型XSS3、DOM Based XSS二、跨站脚本的挖掘方法1、跨站脚本的核心挖掘思想2、跨站脚本的测试思路3、XSS探针4、跨站脚本的测试语句三、跨站脚本的攻击技巧1、窃取Cookie2、篡改网页3、网络钓鱼4、网络挂马5、BEEF四、防御跨站脚本攻击的技巧1、HttpOnly2、输入检查(1)输入过滤(2)输入验证3、输出检查4、内容安全策略(CSP)总结网安小白又又又来瞎咧咧了!!!如有不足,请多指教!!! 什么是XSS? 跨
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
SQL注入技术和跨站脚本攻击的检测
12-14
### SQL注入技术与跨站脚本攻击检测 #### 一、引言 随着互联网技术的飞速发展,网络安全问题日益凸显。...通过以上措施,可以有效地降低SQL注入跨站脚本攻击的风险,保障网站的安全性和用户数据的安全。
SQL注入和XSS跨站攻击安全规范1
08-08
【XSS跨站脚本攻击】 XSS(Cross-Site Scripting)是一种攻击手段,攻击者在Web页面中嵌入恶意脚本,当其他用户访问该页面时,脚本会在用户的浏览器上执行,可能会窃取用户的会话cookie或其他敏感信息。 2.1 名词...
XSS跨站点脚本攻击解决方案
attilax的专栏
06-05 4402
XSS跨站点脚本攻击解决方案 如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行 STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度…… 输出页面时需要进行HTML转码,如输出地址内容 td >convert.html(cus.getAdd
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
浅谈sql注入式(SQL injection)攻击与防范
12-16
浅谈sql注入式(SQL injection)攻击与防范
sql注入跨站脚本攻击
daiqinge的博客
04-15 8665
网站Web攻击,主要有:sql注入,css攻击,跨站脚本攻击,挂马,缓冲区溢出等。         1.  sql注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击        2. CSS攻击:
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
热门推荐
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
防止sql攻击和跨网站脚本攻击处理办法
技术成就人生
02-25 677
1.定义一个过滤器用于监听http请求并获取参数 @Slf4j public class CrosXssAndSqlInjectFilter implements Filter { private FilterConfig filterConfig = null; @Override public void init(FilterConfig filterConfi...
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7926
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
SQL 盲注、SQL 注入跨站点脚本编制可能解决方案
陶博客
07-07 6393
跨站       3.点脚本编制 详细信息 有多种减轻威胁的技巧: [1] 策略:库或框架 使用不允许此弱点出现的经过审核的库或框架,或提供更容易避免此弱点的构造。 可用于更轻松生成正确编码的输出的库和框架示例包括 Microsoft 的 Anti-XSS 库、OWASP ESAPI 编码模块和 Apache Wicket。 [2] 了解将在其中使用数据的上下文,以及预期的编码
解决SQL盲注和跨站脚本攻击
weixin_34375251的博客
08-10 365
今天测试用IBM的AppScan,对系统进行测试,发现了系统的安全漏洞,分别是SQL盲注和跨站脚本攻击,这两种安全隐患都是利用参数传递的漏洞趁机对系统进行攻击。截图如下: 解决方案(参考网上的例子):自己写一个 Filter,使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过滤一些关键字,替换成安全的,例如:< > ' " \ / # &a...
什么是SQL注入跨站脚本攻击
最新发布
05-08
SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。...为了防止跨站脚本攻击,开发人员需要对用户输入进行正确的验证、过滤和编码处理[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值