防止SQL注入-字符串过滤法

最新推荐文章于 2024-04-30 04:08:20 发布
最新推荐文章于 2024-04-30 04:08:20 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang1011/article/details/109682114
版权

防止SQL注入-字符串过滤法

例如

SELECT * FROM user_table WHERE username=

‘’ or 1 = 1 – —and password=’’

危害

通过SQL语句,实现无帐号登录,甚至篡改数据库。

方案一:通常预编译处理。setParem

sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

方案二:字符串过滤
js处理

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

java处理

public static boolean sql_inj(String str){

String inj_str = "and,exec,insert,select,delete,update,

count,*,%,chr,mid,master,truncate,char,declare,;,or,-,+,";

String inj_stra[] = inj_str.split(",");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

获取参数后对参数过滤处理,防止sql注入;

参考

https://www.cnblogs.com/pressur/p/11226392.html

kangfu_521
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL防注入过滤函数
“小学生”的专栏
01-07 506
今天在google输入"aspx 防注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL防注入过滤函数****************************************************过程名:Check
SQL 防注入式攻击
韦庆礼的专栏 java C# .NET JSP
01-17 681
1、检查是否有非法字符 public static boolean sql_inj(String str){    String inj_str = "|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";//这里的东西还可以自己添加String[]
sql注入漏洞
qz362228的博客
08-11 2530
sql注入漏洞原理,类型,防御方式,绕过技巧
黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)
2401_84253037的博客
04-30 844
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。在使用盲注的时候,需要使用到substr(),mid(),limit。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4929
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
C#防SQL注入过滤危险字符信息
weixin_34278190的博客
03-27 787
不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入的危险,以下是C#防止SQL注入***的一个危险字符过滤函数,过滤掉相应的数据库关键字。 主要过滤两类字符:(1)一些SQL中的标点符号,如@,*以及单引号等等;(2)过滤数据库关键字select、insert...
SQL注入(入门其二——过滤)
qq_43520778的博客
09-06 1272
[toc]SQL注入
sql注入过滤字典.txt
10-15
### SQL注入过滤字典知识点详解 #### 一、SQL注入简介 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在应用程序接收用户输入的地方插入恶意SQL语句,来操控数据库执行非预期的操作。为了防范此类攻击,...
手工盲注辅助注入工具Blind-SQL-Injector.zip
07-18
2. **智能推理**:根据响应时间和页面内容的变化,自动推断出SQL语句的真假结果,帮助用户识别潜在的SQL注入点。 3. **多种注入技术**:支持基于时间的和基于布尔的两种盲注方式,以及更复杂的注入策略。 4. **...
高级SQL注入课程.pdf
01-25
- **参数化查询**: 使用预编译的SQL语句来防止注入,避免直接拼接SQL字符串。 - **最小权限原则**: 应用程序连接数据库时使用具有最小必要权限的账户。 - **错误处理**: 不应直接显示详细的错误信息给用户,以防...
php is_numberic函数造成的SQL注入漏洞
09-04
这样的代码虽然意图是防止SQL注入,但其实并不安全。攻击者可以通过提供如"1 or 1"这样的输入,`is_numeric`会将其视为数字并返回`true`。在SQL查询中,这会导致逻辑错误,使得任何条件都为真,可能导致数据的非法...
SQL注入漏洞全接触——高级篇.txt
02-13
4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。 5. 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,...
SQL注入---字符绕过
zhoutong2323的博客
04-10 1029
当网页源代码中出现如下代码后,常见的注释符号将无效,因此需要通过特殊手段进行绕过 上述代码中无法使用符号(#)或(--+)将后面的sql语句注释,因此需要通过特殊手段将后面多出的单引号闭合演示案例: 二.and 和 or 过滤绕过 过滤源代码 绕过手法 三.空格过滤绕过 过滤代码: 绕过手法: 在不同的环境中能够绕过的URL编码有所不同,因此需要多次尝试。演示案例:未使用URL编码注入前:符号被过滤 使用URL注入编码后 报错注入:
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 487
sql注入问题
SQL之过滤数据
qq_63128704的博客
05-08 331
//过滤数据一般在SQL进行比较好,在应用端(客户端)会影响应用性能,服务器要发送更多数据,导致网络带宽浪费 //使用WHERE字句 SELECT prod_name,prod_price FROM Products WHERE prod_price=3.49;//只检索符合条件的行,即价格为3.49的行 //WHERE子句操作符 //检查单个值 SELECT prod_name,prod_price FROM Products WHERE prod_price <10;//检索价格小于10 //不.
过滤SQL特殊字符
01-17 2040
过滤sql特殊字符方法集合 1. ///      /// 过滤不安全的字符串     ///      ///      ///      public static string FilteSQLStr(string Str)     {         Str = Str.Replace("'", "");         Str = Str.Replace(
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1133
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
【SQL-正则】利用正则表达式进行过滤操作(常用正则表达式)
weixin_53543905的博客
07-05 2596
49、验证用户密码(正确格式为 以字母开头,长度在5~17 之间,只能包含字符、数字和下划线)48、只能输入由数字和26个英文字母或者下划线组成的字符串。52、只含有汉字、数字、字母、下划线不能以下划线开头和结尾。53、只含有汉字、数字、字母、下划线,下划线位置不限。16、由数字、26个英文字母或者下划线组成的字符串。1、由数字、26个英文字母或者下划线组成的字符串。47、只能输入由数字和26个英文字母组成的字符串。13、由26个英文字母的大写组成的字符串。14、由26个英文字母的小写组成的字符串
Java sql 复杂sql字符串拼接 防注入
最新发布
06-20
在Java中处理SQL字符串拼接以防止SQL注入攻击是非常重要的,因为直接将用户输入插入到SQL查询可能导致恶意代码执行。以下是一些防范措施: 1. **使用预编译语句(PreparedStatement)**:这是最推荐的方法,预编译语句可以避免直接拼接字符串。PreparedStatement允许你在运行时设置参数,数据库会自动处理转义和安全。 ```java String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userInput); ResultSet rs = pstmt.executeQuery(); ``` 2. **使用参数化查询(Parameterized Statements)**:这种方式虽然不直接使用PreparedStatement,但通过`PreparedStatement`的构造函数和`setXXX`方法也可以达到目的。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; Statement stmt = conn.createStatement(); stmt.setString(1, userInput); stmt.setString(2, hashedPassword); ResultSet rs = stmt.executeQuery(sql); ``` 3. **避免动态构建SQL**:尽量避免在字符串中使用变量来拼接SQL。如果必须,确保对用户输入进行严格的验证和清理,使用`PreparedStatement`或类似的安全库。 4. **使用ORM框架**:如Hibernate、MyBatis等,它们提供了更高的安全性和更简洁的API来操作数据库。 **相关问题--:** 1. 如何区分预编译语句和普通字符串拼接在防止注入方面的优劣? 2. ORM框架如何帮助防止SQL注入? 3. 在实际开发中,如何验证用户输入以减少注入风险?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值