Delphi考虑sql注入 QuotedStr

最新推荐文章于 2021-04-03 11:36:37 发布
最新推荐文章于 2021-04-03 11:36:37 发布
阅读量1.2k 收藏
点赞数
分类专栏: Delphi

之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。

总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代'''进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。

 

以下为一个小测试,一个简单的插入语句,如果Edit1内容为
abc') delete from tb1 insert into tb1(Id, Name) values(123, 'xxxx
则运行后,tb1表中之前数据将全部清除,只剩下insert into tb1(Id, Name) values(123, 'xxxx
添加的一条

 

[delphi]  view plain copy
 
  1. procedure TForm1.Button1Click(Sender: TObject);  
  2. var  
  3.   sqlStr: String;  
  4. begin  
  5.   sqlStr := 'insert into tb1(Id, Name) values(1, ''' + edit1.Text + ''')';  
  6.   self.ADOQuery1.SQL.Text := sqlStr;  
  7.   self.ADOQuery1.ExecSQL;  
  8.   ShowMessage('成功完成Sql注入');  
  9. end;  

 

 

改成sqlStr := 'insert into tb1(Id, Name) values(1, ' + QuotedStr(edit1.Text) + ')';

则可避免。

 

QuotedStr参考如下语句: 

adoquery1.sql.text:=
'select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123';
等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='''+AStr+''' and 整型编号='+AnIntStr;
也等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='+QuotedStr(AStr)+' and 整型编号='+Inttostr(AnInt);
传到数据库服务器为:
select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123

my98800
关注
专栏目录
Delphi考虑sql注入
GavinPan的专栏
04-28 4076
Delphi项目防止Sql注入
Delphi源码版:SQL注入程序实例.rar
07-10
Delphi源码版:SQL注入程序实例,只是写了界面及对注入做了一个更合理的流程安排。无使用三方控件,注入范围还挺广,不过不推荐本程序哦,切勿用于非法途径,后果自负。功能介绍:   1.请按照获取[SQL Server信息]、[获取表名]、[获取列名]、[获取数据]的顺序进行操作   2.软件将自动保存获取的信息,并可以导出(在列表右击弹出菜单)   3.可以建立多个项目,在左边的TTReeView右击弹出菜单   4.获取数据时可以自行设定条件,以获取特定的数据   BUG:   1.有时获取所有列的数据时不能获取数据,获取指定列时,却又能获取   2.暂时只能注入"http://www.xxx.com.cn/spjj.asp?id=169"这样的地址(注意id=后面的为数字)   3.暂时只能注入有错误提示的用SQL Server做数据库的网站
总结一下SQL语句中引号(')、quotedstr()、('')、format()在SQL语句中的用法
突飞猛进的专栏
03-17 802
<br /><br />以及SQL语句中日期格式的表示(#)、('')<br />在Delphi中进行字符变量连接相加时单引号用('''),又引号用('''')表示<br />首先定义变量<br />var<br />AnInt:integer=123;//为了方便在此都给它们赋初值。虽然可能在引赋初值在某<br /> <br />些情况下不对<br />AnIntStr:string='456';<br />AStr:string='abc';<br />AFieldName: string='字符型编号
总结一下SQL语句中引号
宋威的专栏
10-20 1368
总结一下SQL语句中引号()、quotedstr()、()、format()在SQL语句中的用法以 及SQL语句中日期格式的表示(#)、()在Delphi中进行字符变量连接相加时单引号用(),又引号用()表示首先定义变量var AnInt:integer=123;//为了方便在此都给它们赋初值。虽然可能在引赋初值在某些情况下不对AnIntStr:string=456;A
SQLServer注入程序Delphi无控件版..rar
05-04
SQLServer注入程序Delphi无控件版..rar
oracle防止sql注入proc,关于oracle:Delphi – 防止SQL注入
weixin_42667269的博客
04-03 199
我需要保护应用程序免受SQL注入。 应用程序使用ADO连接到Oracle,并搜索用户名和密码以进行身份验证。从我读到现在开始,最好的方法是使用参数,而不是将整个SQL分配为字符串。 像这样的东西:query.SQL.Text := 'select * from table_name where name=:Name and id=:ID';query.Prepare;query.ParamByNa...
delphiXE7开发android直接操作SQL2008数据库
03-30
同时,应考虑SQL注入攻击,使用参数化查询或存储过程。 6. **Android组件**:在Android应用中,使用异步任务(如AsyncTask)来处理网络请求,避免阻塞UI线程。此外,使用ListView或RecyclerView展示数据,以及...
Delphi 7.0 使用Quotedstr函数返回字符串的引证串.rar
07-10
在描述中提到,这个程序与SQL Server数据库相结合,因此`QuotedStr`函数在这里的作用是确保字符串安全地插入到SQL查询中,避免SQL注入等安全问题。 `QuotedStr`函数的使用方式非常简单,它位于`System`单元中,定义...
Quotedstr_delphi_
09-28
`QuotedStr` 在数据库操作中起到安全、高效的作用,确保字符串数据可以正确地插入到SQL语句中,避免SQL注入等安全隐患。 描述中提到的程序示例可能是一个使用DelphiSQLSERVER数据库进行交互的应用,通过`...
Delphi 读取SQL语句实现数据库备份.rar
07-10
 sql.Add('BACKUP DATABASE pubs TO DISK = ' QuotedStr(dlgSave1.FileName '.BAK'));  try  ExecSQL;  ShowMessage('数据库备份完成');  except  ShowMessage('数据库备份未成功');  end;  执行这个语句,...
防止SQL注入实例
01-06
这是一个防止SQL注入的一个实例,很不错的,欢迎下载!
SQLServer注入程序Delphi无控件版
05-18
内容索引:Delphi源码,数据库应用,注入  SQLServer注入程序Delphi无控件版,对"asp?id=169"如果169为文字型,也可注入,而且 程序没有使用三方控件,方便编译,使用时请按照获取[SQL Server信息]、[获取表名]、[获取列名]、[获取数据]的顺序进行操作,左边的TTReeView右击弹出菜单可以创建多个对象,获取数据时可以自行设定条件,以获取特定的数据等,还有不少的功能请查看压缩包内说明文件。
Delphi进程注入的实例
11-28
最近看的一个关于进程注入的方式,自己做了个Demo实现了一下
解决动态生成的SQL中特殊字符的问题 QuotedStr function
weixin_30779691的博客
12-11 103
Returns the quoted version of a string. Unit SysUtils Category String handling routines Delphi syntax: function QuotedStr(const S: string): string; Description Use QuotedStr to co...
SQL语句嵌套最好用quotedstr函数替换
刘磊
04-23 1036
<br />dmcc.delete_rm_zjfhsj.add('select 数量 from rm_zjfhsj where 类型='CTO''); dmcc.delete_rm_zjfhsj.SQL.add('select 数量 from rm_zjfhsj where 类型='+quotedstr('CTO')); 凡是内引号对,最好用quotedstr函数替换
总结一下SQL语句中引号()、quotedstr()、()、format()在SQL语句中的用法
dibodang1423的博客
08-08 91
View Code 总结一下SQL语句中引号('')、quotedstr()、('''')、format()在SQL语句中的用法以及SQL语句中日期格式的表示(#)、('''')在Delphi中进行字符变量连接相加时单引号用(''''''),又引号用('''''''')表示首先定义变量var AnInt:integer=123;//为了方便在此都给它们赋初值。虽然可能在引赋初值在...
如何防止SQL注入攻击
DesignLife的专栏
10-17 947
BS系统中,传统的注入攻击手段有很多。 最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。 但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等 对这些应用的注入攻击防不胜防。 我考虑了一个思路,供大家参考。 1 对所有网页传入的参数分三种。   a) 数字类型,用StrT
防止sql注入
Masha
01-28 664
XssSqlFilter     com.thundersoft.metadata.utils.filter.XssFilter           XssSqlFilter     /*       REQUEST   ===================== package com.thundersoft.metadata.utils.filter;
delphi excel导入sql
最新发布
04-22
Query.SQL.Text := Query.SQL.Text + QuotedStr(Worksheet.Cells[Row, Col].Value) + ','; end; Query.SQL.Text := Copy(Query.SQL.Text, 1, Length(Query.SQL.Text) - 1) + ')'; Query.ExecSQL; end; // ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值