SQL注入过滤

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: Postgresql 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33651286/article/details/125660248
版权

在网络安全日益重视之下,在历史代码的中看到这样的一个小工具类,会起到一定的作用,学习后分享出来。公司老代码~~~

import org.apache.commons.lang3.StringUtils;

import java.util.Map;


/**
 * SQL过滤
 */
public class SQLFilter {

    /**
     * SQL注入过滤
     * 
     * @param str
     *            待验证的字符串
     */
    public static String sqlInject(String str) {
        if (StringUtils.isBlank(str)) {
            return null;
        }
        // 去掉'|"|;|\字符
        str = StringUtils.replace(str, "'", "''");
        str = StringUtils.replace(str, "\"", "'\"");
        str = StringUtils.replace(str, ";", "';");
        str = StringUtils.replace(str, "\\", "'\\");
        // 模糊查询筛选的字符
        str = StringUtils.replace(str, "%", "\\%");
        str = StringUtils.replace(str, "_", "\\_");

        // 转换成小写
        String str1 = str.toLowerCase();

        // 非法字符
        String[] keywords = {"master", "truncate", "insert", "select", "delete", "update", "declare", "alert", "drop"};

        // 判断是否包含非法字符
        for (String keyword : keywords) {
            if (str1.indexOf(keyword) != -1) {
                System.out.println(str1);
//                throw new RdssException("包含非法字符");
            }
        }
        return str;
    }

    /**
     * 针对接口参数进行过滤,过滤特殊字符
     * 
     * @param params
     */
    public static void sqlInjectParam(Map<String, Object> params) {
        for (Sting key : params.keySet()) {
            params.put(key,sqlInject((String)params.get(key)));
        }
    }
}
Mr.4567
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 678
Java项目防止SQL注入的几种方案
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
sql注入(三)绕过方法及防御手段
最新发布
wangluoanquan111的博客
04-20 1137
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
sql注入利用union来绕过括号过滤
plant1234的博客
04-02 7708
union盲注 当我们在括号被过滤的时候,就不能使用sub(),mid()等多种函数 于是相等union 要想知道uinon的怎么进行盲注,就要了解union 这个给大家看几个mysql的查询语句: 通过这三条语句我们可以看到,我们我利用union将一条数据:1,2,0x69 与查询出来的数据进行降序排序,在排序过程中可以看出用的是ascii码 进行的排序。当我们给的password的ascii值大于admin用户密码的ascii值时,则第一条数据就是我们给的数据。所有就可以判断password的值为
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 912
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
ctf sql注入关键词绕过【积累中】
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
sql注入过滤
04-16
sql注入过滤
基于SQL语法树的SQL注入过滤方法研究.pdf
09-19
本文提出的【基于SQL语法树的SQL注入过滤方法】引入了一种新的安全策略。这种方法首先将用户输入转化为SQL语法树结构,然后通过比较这个结构与预期的、安全的SQL语句结构,判断用户输入是否包含恶意成分。这种方法的...
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 483
sql注入问题
SQL防注入代码实现
lujunxuanlujunxuan的博客
04-09 476
SQL防注入代码实现
ASP.NET 实现SQL注入过滤
10-25 3331
一、什么是SQL注入式攻击             所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:         ⑴ 某个ASP.NET Web应用
SQL注入写shell 单引号被过滤解决思路
m0_62207482的博客
03-18 745
写 shell: root 权限,GPC 关闭,知道文件路径outfile函数。%0a、%0b、%a0 等/**/ 等注释符<>
SQL注入漏洞(绕过篇)
errorr0
06-24 4678
SQL注入的绕过手法
sql注入过滤关键字(union select等等)
没事我溜达
03-15 8469
今天来学习一下注入中关键字被过滤了该如何解决 打开靶场,这是我本地搭建的一个靶场所以没有靶场地址 我们在输入框内输入一个1 查询一下结果。 尝试闭合和注释,发现单引号即可完成闭合,--+作为注释内容,通过order by查询列数 看到页面上方order的or被过滤,说明or即是关键词,我们双写or,变成 oorrder by 2 (一定要在or的中间双写or,不然两个都会被注释掉) 通过order by发现只有两列数据,那么开始联合注入 ...
深入了解SQL注入绕过waf和过滤机制
kendyhj9999的专栏
06-06 4282
深入了解SQL注入绕过waf和过滤机制 来源:http://drops.wooyun.org/tips/968 16人收藏 收藏 2014/03/02 13:24 | r00tgrok | 技术分享 | 占个座先 知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filte
mysql注入对and or的过滤及uinon select等过滤的一个方法突破
CC's Blog
04-23 2071
1.and 用&& 代替 2. or 用||代替 3.union select from 变成 /*!union*/这种。 一个例子: / select 1 /*!union*/ select 2 from adad where 1&&1 摘自 it_security 绕过waf的一个思路
sql注入过滤如何实现
03-29
为了防止SQL注入攻击,可以采取以下几种过滤措施: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与用户输入的数据分开处理的方法。通过将用户输入的数据作为参数传递给预编译的SQL语句,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值