关于SQL注入防御函数

最新推荐文章于 2024-04-12 02:53:12 发布
最新推荐文章于 2024-04-12 02:53:12 发布
阅读量4.4k 收藏
点赞数
分类专栏: ASP随笔 文章标签: sql function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oyiboy/article/details/55030
版权

刚刚在最爱白菜那里看到了一个SQL注入防御的函数,突然想起以前看到这些文章时的一直有个问题想不通的,我对于SQL注入的防御很简单,就以下两个函数:

'####
'##
'## SQL注入攻击预防装置[字符型]
'##
'## @ data  ->处理的数据
'## @ length ->长度限制
'##
'## 例: strSql("SQL字符型数据",50)
'##
function strSql(data,length)
'########################################################################
 if length<>0 then data=left(data,length)
 strSql="'"&replace(data,"'","''")&"'"
end function

'####
'##
'## SQL注入攻击预防装置[数字型]
'##
'## @ numeric ->数字
'##
'## 例: intSql(50)
'##
'## 2004/03/04,改良版,原因:IsNumeric检测MSSQL数据类型时会误判。
'##
function intSql(Numeric)
'########################################################################
 dim MM_intTemp
 On Error Resume Next
 if Numeric="" then Numeric=0
 MM_intTemp=csng(Numeric)
 if err=0 then
  intSql=Numeric
 else
  intSql=0
 end if
end function

strSQL的length不在防御SQL注入的范围中,是我为了防止插入字符超过字段长度而出错作的一个小小的防御。
我在网上看到各式各样的SQL注入防御函数,所以很好奇,这样的函数不能防御注入吗?谁知道这两个函数的漏洞请告诉我。

离子漂浮物
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 18
    评论
专栏目录
防止SQL注入攻击的10种有效方法
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
SQL注入中常见的函数_sql注入常见函数
2301_77033340的博客
04-12 989
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
SQL注入式攻击
iteye_7202的博客
08-07 253
       所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 一、SQL注入攻击的种类 首先要了解注入方式有哪些种类,才能更好的防御注入。 1. 没有正确的过滤转义字符 用户的输入...
SQL注入攻击介绍
热门推荐
99度灰的博客
03-30 2万+
SQL注入攻击介绍 一、SQL注入攻击简介 SQL注入攻击是指,后台数据库操作时,如果拼接外部参数到SQL语句中,就可能导致欺骗服务器执行恶意的SQL语句,造成数据泄露、删库、页面篡改等严重后果。按变量类型分为:数字型、字符型;按HTTP提交方式分为:GET注入、POST注入、Cookie注入;按注入方式分为:报错注入、盲注(布尔盲注、时间盲注)、堆叠注入等等。 二、SQL注入分类 按变量类型分类:如SQL语句为select *from user where param=1(数字型)、select *fr
SQL注入常用函数
zgqtxwd的专栏
04-29 541
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
SQL注入绕过实战案例
08-31
本文将深入探讨SQL注入的概念、工作原理,并通过"SQL注入实战案例"来阐述如何进行有效防御和绕过。我们将基于sqli-labs-master靶场进行学习,这是一个专门用于SQL注入攻防演练的平台。 SQL注入SQL Injection)是...
SQL注入漏洞演示源代码
09-29
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。...同时,对于网络安全专业人员来说,这是一个很好的教育资源,可以帮助他们在实际环境中识别和防御SQL注入威胁。
案例预防SQL注入漏洞函数
10-31
这种方法可以防止某些利用非数字字符构造的SQL注入攻击,但仍然不足以防御所有类型的SQL注入。 最后,作者进一步改进了`checkStr`函数,增加了对更多SQL关键字的过滤,如`asc`(升序排序)、`mid`(提取子字符串)...
sql注入详解
m0_67392811的博客
06-12 5763
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 8047
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
防御SQL注入的方法总结
weixin_34186128的博客
07-20 1361
这篇文章主要讲解了防御SQL注入的方法,介绍了什么是注入注入的原因是什么,以及如何防御,需要的朋友可以参考下 SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。 SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询...
xss防御函数
vm021的博客
10-05 582
function xss_clean($data) { // Fix &entity\n; $data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data); $data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '
预防sql注入安全的函数
03-14 1427
<br />预防sql注入安全的函数<br /><br />定义和用法<br />mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。<br />下列字符受影响:<br />/x00 <br />/n <br />/r <br />/ <br />' <br />" <br />/x1a <br />如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。<br />语法<br />mysql_real_escape_string(string
简单介绍下常用SQL注入函数和中文处理方法
三朝看客
07-18 668
一、常用SQL注入函数SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。 Access:asc(字符) SQLServer:unicode(字符) 作用:返回某字符的ASCII码 Access:chr(数字) SQLServer:nchar(数字) 作用:与asc相反,根据ASCII码返回字符 Access:mi...
php中mysqli_real_escape_string()函数
05-08 9161
php连接mysql数据库后,在对数据库进行查询或插入操作时,为了防止恶意访问,通常对输入的字符串进行转义。 前一章介绍了mysql与mysqli的区别,如果采用mysql库连接数据库,转义函数有两个 mysql_real_escape_string(string,connection);//第一个参数为需转义字符串,第二个参数为数据库连接。 mysql_escape_string(stri
mysql_escape_string函数报错
u014062332的专栏
10-31 2891
mysql数据库在插入数据时,为了防止数据攻击,会使用mysql_escape_string函数进行特殊字符的转义处理
sql注入防御方法
最新发布
04-18
SQL注入是一种常见的安全漏洞攻击者通过在用户输入的数据中插入恶意的SQL代码,从而执行非法的数据库操作。为了防止SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询或预编译语句:参数化查询是将用户输入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值