防止通过POST和GET方法SQL注入的两个最彻底过滤程序

最新推荐文章于 2024-05-21 08:03:35 发布
最新推荐文章于 2024-05-21 08:03:35 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: 网站安全 文章标签: sql function 数据库 加密 insert delete

出处http://www.myhack58.com/Article/html/3/68/2011/31262.htm

先针对POST递交上来的信息过滤程序

Public Function filterStr(str)
   str=replace(str,CHR(59),";") '“;”
   str=replace(str,CHR(38),"&") '“&”
   str=replace(str,chr(0),"")
   str=replace(str,chr(9)," ") '“ ”
   str=replace(str,chr(32)," ") '“ ”
   str=replace(str,chr(34),""")'“"”
   str=replace(str,CHR(37),"%") '“%”
   str=replace(str,CHR(39),"'") '“'”
   str=replace(str,Chr(40),"(") '“(”
   str=replace(str,Chr(41),")") '“)” 
   str=replace(str,CHR(42),"*") '“*”
   str=replace(str,CHR(44),",") '“,”
   str=replace(str,CHR(45)&CHR(45),"--") '“--”
   str=replace(str,CHR(60),"<") '“<”
   str=replace(str,CHR(61),"=") '“=”
   str=replace(str,CHR(62),">") '“>”
   str=replace(str,CHR(92),"\") '“\”
   str=replace(str,chr(13),"")
   str=replace(str,chr(10),"<br />")
   str=replace(str,CHR(10)&CHR(10),"</p><p>")
   filterStr=str
End Function

给每一个传递上来的对象过滤下,特殊字符全部过滤成ASCII码,一切皆不可能。。。

 

再针对GET递交上来的信息过滤程序

 

Public Function ChkSqlIn()
Dim Fy_Get, Fy_In, Fy_Inf, Fy_Xh
Fy_In = "'|;|or|and|(|)|*|%|exec|insert|select|delete|update|count|chr|char|nchar|asc|
unicode|mid|substring|master|truncate|drop|declare|%20from|cmdshell|admin|net%20user
|net%20localgroup|1=1|1=2|user>0|id=1"
Fy_Inf = Split(Fy_In, "|")

If Request.QueryString <> "" Then
    For Each Fy_Get In Request.QueryString
        For Fy_Xh = 0 To UBound(Fy_Inf)
            If InStr(LCase(Request.QueryString(Fy_Get)), Fy_Inf(Fy_Xh)) <> 0 Then
                Response.Write "<Script>alert('对不起,可能出错了!');</Script>"
                Fy_Get = ""
                Fy_In = ""
                Fy_Inf = ""
                Fy_Xh = ""
                Response.End
            End If
        Next
    Next
End If
   Fy_Get = "": Fy_In = "": Fy_Inf = "": Fy_Xh = ""
End Function

通过浏览器地址栏传递的数据过滤,同样一切皆不可能

 

再出SQL防黑4招

 

第一招:更换表名,字段名

不要把管理员表名设成“admin”,“administrator”,“users”
不要把字段名设成“admin”,“name”,“username”,“password”,“pwd”
改成“only_name”,“good_pwd”等等,发挥你的想象力,也可以用中文名。
数据库字段名千万不要和前台表单名相同!!!(如注册页面)
这样可以大大增加人肉猜测难度,猜中可以买彩票了。

 

第二招:给密码上MD5加密

好处是就算猜到了数据库中有个[all_users]表中的管理员字段[my_admin],得到用户名,但密码却是一段加密后的16位数字,如果直接用update修改表中的密码,那也不行,因为前台还是需要通过MD5来验证密码,在表中更改密码为12345,仍然无法进入管理页面。

 

第三招:不要把报错信息展示给对方

on error resume next ‘这句话写在网页最上面 
… ….‘中间程序 
if err.number<>0 then ‘可写可不写,如果需要知道错在哪里,用err.description写到其他地方 
err.clear 
response.write "程序出错了..." 
end if 
这样想通过报错信息揣摩数据库内部结构就没辙了

 

第四招:禁止站外递交

if instr(request.serverVariables("HTTP_REFERER"),"http://"&request.serverVariables("HTTP_HOST"))<1 then response.end
这样想通过本地网页递交信息就不可能了。

 

当然,网页技术上没有密不透风的墙。就算换表名一样可能被猜到,或者用软件穷举出来,MD5编码有破解器,错误信息有没有可能对资深黑客都无所谓,通过修改本地什么设置依然可以站外递交,只不过相当繁琐而已,如果只是中小网站,资深黑客也全然没有兴趣在上面浪费时间,而以上几步对付小黑客是足够了。

 

最后,害人之心不可有,防人之心不可无。

 

附上CHR码值对应表

Chr(0) 为0的字符
Chr(1)        
Chr(2)        
Chr(3)        
Chr(4)        
Chr(5)        
Chr(6)        
Chr(7) 响铃
Chr(8) 回格
Chr(9) tab水平
Chr(10) 换行
Chr(11) tab垂直
Chr(12) 换页
Chr(13) 回车
Chr(14)        
Chr(15)        
Chr(16)        
Chr(17)        
Chr(18)        
Chr(19)        
Chr(20)        
Chr(21)        
Chr(22)        
Chr(23)        
Chr(24)        
Chr(25)        
Chr(26) 结束End
Chr(27) Pausebreak键
Chr(28)        
Chr(29)        
Chr(30)        
Chr(31)        
Chr(32) 空格SPACE
Chr(33) !
jazwoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
12-17
预处理语句是更安全且推荐的防止SQL注入方法,它将查询结构和用户输入分开处理。在`mysqli`或`PDO`扩展中,可以这样使用: ```php // 使用mysqli预处理 $stmt = $mysqli->prepare("SELECT * FROM cdr WHERE src =...
浅析php过滤html字符串,防止SQL注入方法
12-18
在PHP中,`$_GET`和`$_POST`是两个预定义的超全局数组,分别用于收集HTTP GET和POST请求的数据。为了确保这些数据的安全性,我们可以使用自定义的`stripslashes_array`函数来去除反斜杠,以防止黑客使用转义字符构造...
php过滤参数特殊字符注入,php过滤参数特殊字符注入
weixin_39926613的博客
04-03 163
/*** 安全过滤php的$_GET 和$_POST参数*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml($value...
ajax GET方式向后台传输信息,“+”会丢失
qq_40714105的博客
05-11 725
如题,在某个情况下发现这种倒霉催的情况。
SQL注入post注入
最新发布
banliyaoguai的博客
05-21 760
GET请求的参数是通过URL传输的,而URL的长度往往被浏览器所限制,通常为2048个字符,因此GET请求的参数传输长度是被限制的。GET请求可以被缓存,因为GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,可以使用缓存来提高性能。POST请求不是幂等的,多次相同的POST请求会对服务器的状态产生影响,可能会改变服务器的数据。GET请求是幂等的,即多次相同的GET请求对服务器的状态没有影响,不会改变服务器的数据。GET请求通过URL的请求行来提交数据,这些数据在URL中是可见的。
通过 GET方式传值的时候,+号会被浏览器处理为空。。需要转换为%2b
after_you的博客
09-04 5524
通过 GET方式传值的时候,+号会被浏览器处理为空。。需要转换为%2b
get和post提交两种字符编码过滤器java
qq_42599762的博客
12-15 419
get和post两种字符编码过滤器 get或者post提交 package com.qf.filter; import java.io.IOException; import java.io.UnsupportedEncodingException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ja...
get传输参数中有+号的问题
dabao87的博客
04-12 3761
今天碰到一个很奇葩的问题,就是用get传的参数中如果有 + 号,接收到的参数这个 + 被空格代替了,就导致参数出错 正常接收到的数据是这样的 错误接收到的数据是这样的 将这些参数用用get拼接好了再去请求,接收到的参数竟然 + 号变成空格了,查了资料后才知道,这是因为get请求先要被unicode编码,所以才导致变成了空格,以后要记住有 + 的参数要post传输了 ...
SQL注入思路详解
12-14
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序在处理用户输入数据时的不足,使得攻击者能够构造恶意的SQL语句来控制或篡改数据库。本文将深入解析SQL注入的思路,帮助你理解和范这种攻击。 首先,SQL...
PHP循环获取GET和POST值的代码
10-30
你可以使用`htmlspecialchars()`函数对用户输入进行转义,或者使用`filter_var()`函数进行过滤和验证。此外,使用预处理语句(如PDO或mysqli的预处理)可以有效防止SQL注入。 总结一下,PHP中循环获取GET和POST值的...
编写通用的asp注入程序
01-20
将这段代码置于应用程序的入口点,如`conn.asp`之前,可以确保在与数据库交互前检查所有请求参数,有效防止SQL注入攻击。 然而,这种方法虽然简单易行,但并不完美。它依赖于预定义的非法字符列表,可能无法覆盖...
post表单防止注入
01-22
post表单,这个不知道大家会不会,传上来分享一下,呵呵
Get 传递一些长的字符串什么的需要注意,+会自动变成空格
爱乐爱快乐
02-25 1537
Get 传递一些长的字符串什么的需要注意,+会自动变成空格,这在加解密过程中尤为需要注意: 如下:
防止GET和POST方式引起的SQL注入攻击ASP程序
01-11 4945
编写通用的SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。IIS传递给asp.dll的get 请求是是以字符串的形式,当传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,
SQL注入原理-POST注入
T1ngSh0w的博客
09-17 4874
SQL注入原理-POST注入
Wireshark过滤规则
发现问题,面对问题,分析问题,解决问题,总结问题
06-19 5452
Wireshark 是世界上应用最广泛的网络协议分析器,它让我们在微观层面上看到整个网络正在发生的事情;Whireshark 可以帮你看到整个网络交通情况,也可以帮你深入了解每个封包
sql注入靶场中POST注入和HTTP头部注入
weixin_75055385的博客
06-26 247
sql注入post注入以及HTTP头部注入原理和靶场的联系,我也是小白,有错误的地方,希望各位师傅们指点出来,非常感谢
利用POST进行用户登录的安全问题剖析
热门推荐
萧动的专栏
06-05 1万+
POST是一种提交
get和post文件包含漏洞dvwa
05-20
如果应用程序没有对参数进行有效的校验和过滤,攻击者可以通过构造恶意请求来进行 SQL 注入、XSS 攻击等。 而 POST 方式提交数据时,应用程序需要对数据进行有效的校验和过滤,以防止恶意数据的注入。如果应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值