高效的防SQL注入函数

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量1.4k 收藏
点赞数
分类专栏: asp 文章标签: sql kill insert delete function each
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujam_2008/article/details/1043826
版权

 

FUNCTION CHECKSTR(ISTR)
DIM ISTR_FORM,SQL_KILL,SQL_KILL_1,SQL_KILL_2,ISTR_KILL 
IF ISTR="" THEN EXIT FUNCTION
ISTR=LCase(ISTR)
ISTR_FORM=ISTR
SQL_KILL="'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|set|;|from|="
SQL_KILL_1=SPLIT(SQL_KILL,"|")
FOR EACH SQL_KILL_2 IN SQL_KILL_1
ISTR=REPLACE(ISTR,SQL_KILL_2,"")
NEXT
CHECKSTR=ISTR
ISTR_KILL=REPLACE(ISTR_FORM,ISTR,"")
IF ISTR<>ISTR_FORM THEN
RESPONSE.WRITE "<script>alert('警告: 您提交的数据["&ISTR_FORM&"]中含有非法字符 ["&ISTR_KILL&"]');history.back();</Script>"
RESPONSE.END
END IF
END FUNCTION

 调用方法:

key=CHECKSTR(request.form("key"))

网上很多傻瓜式的防注入代码,虽然很易用,但是效率极低,对所有post的request.form与request.querystring都进行过滤检测,影响运行速度,以上函数可以在需要进行过滤的时候才调用。

liujam_2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入过滤函数
“小学生”的专栏
01-07 499
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
正则表达式SQL注入函数
小丸子的专栏
10-08 8100
<br />       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数写一个SQL注入函数函数就未免有点繁琐了。下面这个是我自己写的SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br
众多开源系统使用的过滤SQL注入函数
weixin_34255793的博客
11-16 147
$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_F...
Oracle 使用PreparedStatementSQL注入
每天进步一点点 时间会让你成为巨人
01-05 9399
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
码出高效读书笔记:SQL注入
weixin_41047704的博客
12-30 159
Q1:什么是SQL注入? A1:SQL注入是注入式攻击中的常见类型,SQL注入式攻击是未将代码与数据进行严格的隔离,导致在读取用户数据的时候,错误地将数据作为代码的一部分执行,从而导致一些安全问题。 典型的SQL注入的例子是当对SQL语句进行字符串拼接操作时,直接使用未加转义的用户输入内容作为变量。例如: var testCondition; //测试内容变量 te...
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 491
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
sql注入的几个简单函数应用
不负好时光的博客
09-18 2842
几个简单的函数有:  trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符(或者其他字符) 此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数,trim() 将去除这些字符: " " (ASCII 32 (0x20)),普通空格符。 "\t" (
PHP+MysqlSQL注入源码 下载
01-01
这两个扩展都支持预处理语句,这是SQL注入的有效手段。 **预处理语句与参数绑定** 预处理语句是SQL注入的一种最佳实践。它允许开发者在执行SQL查询之前先定义好结构,然后将变量作为参数传递。这样,即使...
C#适用于like语句的SQL格式化函数
09-04
总的来说,通过使用`ToLikeSql`函数,我们能够有效地SQL注入,同时保证`LIKE`查询的正确性。这个函数对于任何需要处理用户输入并构建`LIKE`语句的C#应用程序都是一个重要的工具。在实际开发中,除了使用这样的...
简单高效注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
通用权限管理系统
10-24 726
<br />并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法<br /> <br />   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。<br /> <br />   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1-2年,还没有那么丰富的技术经验、安全意
SQL注入函数
07-18 361
  void Check()    {               string sql_injdata = "and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare";//要过虑的关键字        string[] SQL_inj = sql_injdata.Split(|);    
SQL注入常用函数
zgqtxwd的专栏
04-29 541
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1127
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
PHP常见的SQL注入方法
最新发布
weixin_43741253的博客
09-22 2819
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashesSQL注入,还是建议大家加强中文SQL注入的检查。
sql注入过滤处理
富在术数不在劳身,利在势局不在力耕。
07-22 712
/*sql注入操作处理*/         function actionDowithsql($str)         {           $str = str_replace("and","",$str);           $str = str_replace("execute","",$str);           $str = str_replace("update",
sql注入过滤select_网站SQL注入渗透测试手法介绍
weixin_39628384的博客
11-26 1961
国庆即将到来,前一期讲到获取网站信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给网站安全带来怎样的影响!3.1 SQL注入漏洞3.1.1. 注入分类SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤,则可能使得...
sql注入常见绕过方法
ljlrookiebird的博客
09-05 3871
sql注入是web安全的常见漏洞,这里总结下常见的绕过姿势,还有其他没总结到了,小伙伴可以留言补充
sql注入过滤与绕过
designer545的博客
07-13 1130
在一些网站,管理员会通过一些正则表达式来使过滤一些语句 此时,就要通过一些绕过方法来绕过过滤进行查询。 一、通过注释符绕过 注释符 # // 通过在关键词的中间加入注释符,使关键词不被识别 如 select 改为 se//lect 二、通过<>绕过 如 select 改为 sel<>ect 三、通过改变大小写绕过 四、如果and or被过滤 可以将and 用&& 替换 or 用 || 替换 五、通过重复关键词绕过 六、通过url编码绕过 七、等价函数与命令
SQL注入过滤
老夫的少女心
05-14 4774
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要进行过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> ...
网络安全原理与应用:SQL工具注入.pptx
05-16
SQL工具注入 第7章 Web应用安全 目标 Objectives 要求 了解常见的SQL注入工具; 掌握使用常见SQL注入工具进行SQL注入的方法; SQL工具注入 一、SQL工具注入 1、SQLMap 通过之前知识点的学习,我们了解到SQL注入的基本流程之后,SQL注入攻击原理简单,但是过程繁琐,特别是SQL盲注,需要重复地进行注入测试,工作量巨大,所以人们开发了SQL注入的自动化工具,来提高SQL注入攻击效率。其中最常用SQL注入工具就是SQLMap。 下载地址:/sqlmapproject/sqlmap/legacy.zip/master SQL工具注入 一、SQL工具注入 2、python运行环境 由于SQLMap是采用python编写的,所以要运行SQLMap,需要安装python运行环境。 下载地址:/downloads/release/python-385/ SQL工具注入 二、SQLMap的安装 知识点任务 1、下载并安装python运行环境 2、安装SQLMap 请仔细观看教师演示! SQL工具注入 三、SQL工具注入 1、SQLMap常用命令 -u URL #判断

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值