简单防sql注入

最新推荐文章于 2023-03-21 20:53:58 发布
最新推荐文章于 2023-03-21 20:53:58 发布
阅读量464 收藏 1
点赞数
分类专栏: sql方面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq719365064/article/details/52925367
版权
一、防止文本框注入
js代码: 
<script>
        //防止SQL注入
        function AntiSqlValid(oField) {
            re = /select|update|delete|exec|count|'|"|=|;|>|<|%/i;
            if (re.test(oField.value)) {
                alert("请您不要在参数中输入特殊字符和SQL关键字!"); //注意中文乱码
                var val = oField.value;
                oField.value = val.substring(0, val.length - 1);
                oField.className = "errInfo";
                oField.focus();
                return false;
            }
        }
    </script>
html代码: 
<li>只能输入数字和字母:<input type="text" onkeyup="return AntiSqlValid(this)" /></li>
二、防止url注入

在Global文件里里加入 
   

protected void Application_BeginRequest(Object sender, EventArgs e) 
   { 
   //SQL防注入 
   string Sql_1 = "exec|insert+|select+|delete+|update+|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";
   string Sql_2 = "exec+|insert|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";
   string[] sql_c = Sql_1.Split('|'); 
   string[] sql_c1 = Sql_2.Split('|');
   if (Request.QueryString != null) 
   { 
   foreach (string sl in sql_c) 
   { 
   if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0) 
   { 
   Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");// 
   Response.Write(sl); 
   Response.Write(Request.QueryString.ToString()); 
   Response.End(); 
   break; 
   } 
   } 
   }
   if (Request.Form.Count > 0) 
   { 
   string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称 
   if (Request.ServerVariables["HTTP_REFERER"] != null) 
   { 
   string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称 
   string s3 = ""; 
   if (s1.Length > (s2.Length - 7)) 
   { 
   s3 = s2.Substring(7); 
   } 
   else 
   { 
   s3 = s2.Substring(7, s1.Length); 
   } 
   if (s3 != s1) 
   { 
   Response.Write("警告!你的IP已经被记录!不要使用敏感字符!");// 
   Response.End(); 
   } 
   } 
   } 
   }

  三、对参数进行SQL防止注入判断
   

public static string SafeSqlLiteral(string inputSQL)
   {
    // check incoming parameters for null or blank string
    if ((inputString != null) && (inputString != String.Empty))
    {
    inputString = inputString.Trim();
                  inputString = Regex.Replace(inputString, "[//s]{2,}", " "); //two or more spaces
                  inputString = Regex.Replace(inputString, "(<[b|B][r|R]/*>)+|(<[p|P](.|//n)*?>)", "/n"); //<br>
                  inputString = Regex.Replace(inputString, "(//s*&[n|N][b|B][s|S][p|P];//s*)+", " "); //&nbsp;
                  inputString = Regex.Replace(inputString, "<(.|//n)*?>", string.Empty); //any other tags
                  inputString = inputString.Replace("'", "''");
                  return inputString;
   }
   else
    return inputString;
   }

  c.彻底杜绝SQL注入

   1.不要使用sa用户连接数据库 
   2、新建一个public权限数据库用户,并用这个用户访问数据库 
   3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限 
   4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×” 
   5、通过以下代码检测(失败表示权限正确,如能显示出来则表明权限太高): 
   DECLARE @T varchar(255), 
   @C varchar(255) 
   DECLARE Table_Cursor CURSOR FOR 
   Select a.name,b.name from sysobjects a,syscolumns b 
   where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) 
   OPEN Table_Cursor 
   FETCH NEXT FROM Table_Cursor INTO @T,@C 
   WHILE(@@FETCH_STATUS=0) 
   BEGIN print @c 
   FETCH NEXT FROM Table_Cursor INTO @T,@C 
   END 
   CLOSE Table_Cursor 
   DEALLOCATE Table_Cursor

   sql2005做法:
   1、在系统视图找到sysobjects a,syscolumns b ,属性,进入权限,找到SELECT后面拒绝打勾即可。

不懂love
关注
专栏目录
PHP简单sql注入的方法
10-21
SQL注入是一种常见的网络安全威胁,它发生在Web应用程序中,允许攻击者通过输入恶意的SQL代码来操纵或窃取数据库中的数据。PHP是Web开发中广泛使用的脚本语言,因此了解如何SQL注入对于保护PHP应用程序至关重要...
基于ESAPI的sql注入jar包及使用示例.rar
10-17
**基于ESAPI的SQL注入技术** 在网络安全领域,SQL注入是一种常见的攻击手段,通过恶意构造SQL语句,攻击者可以获取、修改甚至删除数据库中的敏感数据。为了止这种攻击,开发人员通常会采用各种御策略,其中一...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6613
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何SQL注入
热门推荐
Delete_V的专栏
10-23 1万+
-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..  ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串
SQL注入
cuanji3287的博客
04-20 117
简单的情况下,都是在前台输入要插入的数据,然后后台直接把输入的数据连接到SQL语句上,就很容易遭到SQL注入的问题。 比如: string sql=”insert into category(name) ...
关于sql注入
xlj66666的博客
10-10 180
在学习mybatis之前了解过SQL注入,当时一般是用java提供是statement来执行查询语句。 但这样就会遇到一个问题,黑客攻击者可以通过在SQL语句后加入一些SQL片段例如(or '1'='1'),这样就能获得到数据库中是其他数据 针对这个问题java有提供了另一个api就是preparedstatement,通过调用connection.preparedStatement(sql
SQL注入的方法总结
09-10
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库,获取、修改、删除敏感信息,甚至完全控制数据库系统。SQL注入是保护网站和应用程序免受此类攻击的关键步骤。 1. SQL注入的...
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
本教程将详细讲解如何使用Global.asax文件来实现一个通用的SQL注入策略,以保护ASP.NET应用程序不受此类攻击。 一、SQL注入的原理与危害 SQL注入主要是利用了程序处理用户输入时未进行充分验证的漏洞。攻击者可以...
浅谈sql注入
quan9i的博客
03-08 5196
文章目录前言御手段sql语句预编译规定变量格式过滤字符串和正则通配符关闭PDO部分功能转义特殊字符 前言 文章同步于我的个人博客中,欢迎大家访问 众所周知,sql注入是比较常见的一种攻击方式,我们通常学习了很多攻击手段,例如联合查询,二次注入,报错注入,布尔盲注,时间盲注等等,但我们此时仅仅学会了如何得到数据,那如果反过来,让我们保护数据,此时该如何sql注入呢,我浅学了一点,并总结如下,希望能对正在学习sql注入的人有一点帮助.。 博主只是一个小白,如果出现问题还请各位师傅多多指教 御手段 sql
sql注入的方法
weixin_33882443的博客
06-02 355
1. 打开magic_quotes_gpc来SQL注入 SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷, 所以一定要小心。php.ini中有一个设置: magic_quotes_gpc = Off 这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换, 比如把 ' 转为 \'等,这对止sql注射...
SQL注入的五种方法
chenyuanyuan1992的博客
05-29 358
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台...
怎么SQL注入
最新发布
。。。。
03-21 7181
SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
简单sql注入及预
less_cold的博客
09-18 452
sql注入就是通过表单或者url来像服务器中插入sql语句,从而达到自己的目的,获取数据,修改数据。 例如输入' or 1='1;这样就使搜索的条件语句变成了一定成立的。 用sql注入就可以实现登录之类的。但是像我对密码用了md5加密,这样对密码的简单sql注入就失去了效果。 像这样只获得了读取的功能,并不是很有用。我们就想要获取数据表名,从而实现增删改的功能。 通过例如' or
网站注入SQL攻击护办法
网站安全专家
02-04 501
能否理解并利用SQL首注是区分一般攻击者和专业攻击者的一个标准。面对严密禁用详细错误消息的御,大多数新手会转向下一目标。但攻破SQL盲注漏洞并非绝无可能,我们可借助很多技术。它们允许攻击者利用时间、响应和非主流通道(比如DNS)来提取数据。以SQL查询方式提问一个返回TRUE或FALSE的简单问题并重复进行上千次,数据库王国的大门便通常不容易发现SQL盲注漏洞的原因是它们隐藏在暗处。一旦发现漏洞后,我们就会有们能支持多种多样的数据库。大量的漏洞可用。要明确什么时候应选择基于响应而非时间的利用和什么时候使用
sql注入
jakeswang的博客
05-31 586
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名 例子:(传入值为id) order by ${param} 则解析成的sql为: order by id #{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 例子:(传入值为id) select * from table where name = #{param}
sql注入几种惯用策略
L_yangliu的专栏
07-27 1339
所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好注入操作。关于这个问题,成熟的方案有很多,现在总结如下: 一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。 二,使用转义,经常用到的函数有:mysql_real_escape_string(php5已
注入】实践有效的网站SQL注入(一)
MSDA的专栏
03-29 1489
几年前,网站中大多数都存在sql注入sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的范和发掘不够深造成的,这里我把范sql的
网站SQL注入
野生码农
01-24 2167
JSP注入攻击tomcat服务器小案例 https://blog.csdn.net/u012881836/article/details/51242641   原理 上传一个可以执行的jsp文件,然后打开这个文件。这个文件里,可以写一些代码,执行一些特殊操作。       jsp mysql 注入攻击实例 https://blog.csdn.net/judyge/article/...
SQL注入御策略与实例解析
本文将探讨SQL注入的原理、危害以及如何范。" SQL注入是一种常见的网络攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,以获取未经授权的数据访问或控制数据库服务器。这种攻击方式主要针对那些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值