防止SQL注入-字符串过滤法

最新推荐文章于 2024-04-10 21:32:12 发布
最新推荐文章于 2024-04-10 21:32:12 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang1011/article/details/109682114
版权

防止SQL注入-字符串过滤法

例如

SELECT * FROM user_table WHERE username=

‘’ or 1 = 1 – —and password=’’

危害

通过SQL语句,实现无帐号登录,甚至篡改数据库。

方案一:通常预编译处理。setParem

sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

方案二:字符串过滤
js处理

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

java处理

public static boolean sql_inj(String str){

String inj_str = "and,exec,insert,select,delete,update,

count,*,%,chr,mid,master,truncate,char,declare,;,or,-,+,";

String inj_stra[] = inj_str.split(",");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

获取参数后对参数过滤处理,防止sql注入;

参考

https://www.cnblogs.com/pressur/p/11226392.html

kangfu_521
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql注入过滤字典.txt
10-15
### SQL注入过滤字典知识点详解 #### 一、SQL注入简介 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在应用程序接收用户输入的地方插入恶意SQL语句,来操控数据库执行非预期的操作。为了防范此类攻击,...
java防sql注入 转义_Java-转义字符串防止sql注入
weixin_42384743的博客
02-26 1207
慕仙森PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:publicinsertUser(Stringname,Stringemail){Connectionconn=null;PreparedStatementstmt=null;try{conn=setupTheDat...
sql注入漏洞
qz362228的博客
08-11 2579
sql注入漏洞原理,类型,防御方式,绕过技巧
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5032
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
C#防SQL注入过滤危险字符信息
weixin_34278190的博客
03-27 792
不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入的危险,以下是C#防止SQL注入***的一个危险字符过滤函数,过滤掉相应的数据库关键字。 主要过滤两类字符:(1)一些SQL中的标点符号,如@,*以及单引号等等;(2)过滤数据库关键字select、insert...
SQL注入(入门其二——过滤)
qq_43520778的博客
09-06 1314
[toc]SQL注入
JSP 防范SQL注入攻击分析
10-30
最后,作者提供了一个简单的字符串过滤函数filterContent(),用于移除输入字符串中的潜在危险字符。这个函数定义了一个包含多种危险SQL语句片段的数组,并将这些字符从输入内容中移除。虽然这是一个基本的过滤方法,...
手工盲注辅助注入工具Blind-SQL-Injector.zip
07-18
2. **智能推理**:根据响应时间和页面内容的变化,自动推断出SQL语句的真假结果,帮助用户识别潜在的SQL注入点。 3. **多种注入技术**:支持基于时间的和基于布尔的两种盲注方式,以及更复杂的注入策略。 4. **...
高级SQL注入课程.pdf
01-25
- **参数化查询**: 使用预编译的SQL语句来防止注入,避免直接拼接SQL字符串。 - **最小权限原则**: 应用程序连接数据库时使用具有最小必要权限的账户。 - **错误处理**: 不应直接显示详细的错误信息给用户,以防...
php is_numberic函数造成的SQL注入漏洞
09-04
这样的代码虽然意图是防止SQL注入,但其实并不安全。攻击者可以通过提供如"1 or 1"这样的输入,`is_numeric`会将其视为数字并返回`true`。在SQL查询中,这会导致逻辑错误,使得任何条件都为真,可能导致数据的非法...
SQL 防注入式攻击
韦庆礼的专栏 java C# .NET JSP
01-17 687
1、检查是否有非法字符 public static boolean sql_inj(String str){    String inj_str = "|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";//这里的东西还可以自己添加String[]
SQL注入---字符绕过
最新发布
zhoutong2323的博客
04-10 1331
当网页源代码中出现如下代码后,常见的注释符号将无效,因此需要通过特殊手段进行绕过 上述代码中无法使用符号(#)或(--+)将后面的sql语句注释,因此需要通过特殊手段将后面多出的单引号闭合演示案例: 二.and 和 or 过滤绕过 过滤源代码 绕过手法 三.空格过滤绕过 过滤代码: 绕过手法: 在不同的环境中能够绕过的URL编码有所不同,因此需要多次尝试。演示案例:未使用URL编码注入前:符号被过滤 使用URL注入编码后 报错注入:
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 492
sql注入问题
SQL之过滤数据
qq_63128704的博客
05-08 346
//过滤数据一般在SQL进行比较好,在应用端(客户端)会影响应用性能,服务器要发送更多数据,导致网络带宽浪费 //使用WHERE字句 SELECT prod_name,prod_price FROM Products WHERE prod_price=3.49;//只检索符合条件的行,即价格为3.49的行 //WHERE子句操作符 //检查单个值 SELECT prod_name,prod_price FROM Products WHERE prod_price <10;//检索价格小于10 //不.
过滤SQL特殊字符
01-17 2051
过滤sql特殊字符方法集合 1. ///      /// 过滤不安全的字符串     ///      ///      ///      public static string FilteSQLStr(string Str)     {         Str = Str.Replace("'", "");         Str = Str.Replace(
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1141
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
【SQL-正则】利用正则表达式进行过滤操作(常用正则表达式)
weixin_53543905的博客
07-05 2701
49、验证用户密码(正确格式为 以字母开头,长度在5~17 之间,只能包含字符、数字和下划线)48、只能输入由数字和26个英文字母或者下划线组成的字符串。52、只含有汉字、数字、字母、下划线不能以下划线开头和结尾。53、只含有汉字、数字、字母、下划线,下划线位置不限。16、由数字、26个英文字母或者下划线组成的字符串。1、由数字、26个英文字母或者下划线组成的字符串。47、只能输入由数字和26个英文字母组成的字符串。13、由26个英文字母的大写组成的字符串。14、由26个英文字母的小写组成的字符串
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 1122
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值