c#验证参数sql注入和防止xxs脚本攻击

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量779 收藏 1
点赞数
文章标签: 正则表达式 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35673931/article/details/121749208
版权

   

 1.正则表达式验证

  public static bool sqlValidate(string sql)
        {
            string badStr = @"\b(update|delete|insert|or|not|like|trancate|into|exec|master|drop|execute|net user|xp_cmdshell|go|create|grant|group_concat|restore|backup|net +localgroup +administrators|iframe|cookie|location|prompt|confirm|script|<a.*|<img.*)\b";
            Regex reg = new Regex(badStr, RegexOptions.IgnoreCase);
            return reg.IsMatch(sql);
        }

     3.过滤

前端过滤

function htmlEncode(str) {
    var s = "";
    if (str.length == 0) return "";
    s = str.replace(/&/g, "&amp;")
    .replace(/</g, "&lt;");
    .replace(/>/g, "&gt;");
   .replace(/ /g, "&nbsp;");
   .replace(/\'/g, "&#39;");
    .replace(/\"/g, "&quot;");
   .replace(/\n/g, "<br>");
    return s;
}
//解码
function htmlDecode(str) {
    var s = "";
    if (str.length == 0) return "";
    .replace(/>/g, "&")
    .replace(/</g, "<")
    .replace(/>/g, ">")
    .replace(/ /g, " ")
    .replace(/'/g, "\'")
    .replace(/"/g, "\"")
    .replace(/<br>/g, "\n");
    return s;
}

后端过滤

 public static string FilterHTML(string html)
        {
            if (html == null)
                return "";
            //将<转义成
            string strResult = html;
            strResult = strResult.Replace("<", "&lt;")
                    .Replace(">", "&gt;")
                    .Replace("&", "&amp;")
                    .Replace("\"", "&quot;");
            return strResult;
        }

花辞榭柳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html 转义js
gergerman的专栏
11-06 1385
function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, ">"); s = s.replace(/</g, "<"); s = s.replace(/>/g, ">"); s = s.replace(/
XSS攻击与防范
qq_44675204的博客
08-10 389
XSS攻击:跨站脚本攻击(Cross Site Scripting),简单来说就是攻击者想尽一切办法将可执行的代码注入到网页中。 客户端的XSS攻击主要是DOM型,取出和执行恶意代码由浏览器端完成,属于JavaScript自身的安全漏洞。 服务端的XSS攻击主要分为:存储型与反射型。 防范方法: 1、转义字符 如escapeHTML() 方法将HTML元素编码,CSS编码,JS编码,URL编码等等,避免拼接HTML。 2、增加攻击难度(配置CSP) CSP本质上就是建立白名单,开发者明确告诉浏览器哪些外部
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
最新发布
lbmydream的博客
06-06 835
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
c#sql防注入模糊查询_技术场景之解决SQL注入
weixin_32595533的博客
01-06 390
开篇前言以前的无知,造就了一场场线上事故,现在回想起来,不忍想象.而这篇文章,主要聊聊SQL注入.曾经的自己,因为没有对接口参数进行规范化处理,导致了数据库被恶意客户端把数据库爬得一干二净.当时非常气恼,现在回想起来,我还要谢谢那个人,谢谢你没有把数据库的数据全给我清空.01.什么是SQL注入SQL注入,指服务器接口对用户输入数据的合法性没有判断或过滤不严,导致恶意客户端可以通过在参数中...
防止SQL注入的五种方法
热门推荐
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
c#验证字段是否存在前端脚本
qq_39788123的博客
01-08 413
// 验证字符串是否存在前端脚本
C#SQL注入代码的三种方法
09-04
C#中,防止SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
SQL注入和跨站点脚本
04-08
SQL注入和跨站点脚本(XSS)是两种常见的网络安全威胁,主要针对基于Web的应用程序。这篇文章将深入探讨这两种攻击方式,以及如何在C#环境中防止它们。 **SQL注入** SQL注入是一种攻击手段,攻击者通过输入恶意的...
C#SQL注入之SqlParameter参数
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user ...
SQL防注入正则表达式
绅士jiejie的博客
07-16 2491
SQL防注入正则表达式
(C# 正则表达式)判断匹配, 提取字符串或数值
weixin_30437847的博客
05-11 1001
string s = "if ( \"ch\" == \"os\" ) "; string pattern = @"if\s*\(\s*""(?<LHS>[\w\d_]+)""\s*==\s*""(?<RHS>[\w\d_]+)""\s*\)"; ////string patt...
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7810
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
postman传递对象型参数出现bad String
KNOCK_CODE_的博客
06-05 3193
1.如图,传递对象型参数时,key是要加上双引号的,因这个白忙活半天,还以为是自己的@Validated出错了,希望大家别踩坑! 2.在key上加上双引号就完事了
Python爬虫(二)正则表达式
凡心所向.AI
08-14 1417
正则表达式语法规则 百度百科简介:正则表达式是对字符串(包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为“元字符”))操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是一种文本模式,该模式描述在搜索文本时要匹配的一个或多个字符串。 字符 字符 . 匹配一个任意字...
【网络安全】防止XSS注入的方法
Xuetao_Shen的博客
03-22 2606
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4469
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
C#检查字符串,防SQL注入攻击
BigMonster's Blog
11-23 1101
boolCheckParams(paramsobject[]args){   string[]Lawlesses={"=",""};   if(Lawlesses==null||Lawlesses.Length   //构造正则表达式,例:Lawlesses是=号和号,则正则表达式为.*[=}].* (正则表达式相关内容请见MSDN)   //另外,由于我是想做通用而且容易修改的函数,所以多
防止 XSS 攻击 解决方案
浪子专栏
08-15 1万+
XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 解决方案 第一。过滤 过滤 标签 等字符 ,但是这样 对用户是不公平的。第二。用asii 码替换 如   ! 等   第三
C#怎么防止SQL注入
07-15
C# 中,可以采取以下措施来防止 SQL 注入攻击: 1. 使用参数化查询:使用参数化查询可以将用户提供的输入值作为参数绑定到查询语句中,而不是直接将输入值嵌入到 SQL 查询字符串中。这样可以防止恶意输入被解释为 SQL 代码。例如,在使用 SqlCommand 执行查询时,可以使用 SqlParameter 对象来设置查询参数。 以下是使用参数化查询的示例代码: ```csharp string sqlQuery = "SELECT * FROM Users WHERE Username = @username AND Password = @password"; using (SqlCommand command = new SqlCommand(sqlQuery, connection)) { command.Parameters.AddWithValue("@username", username); command.Parameters.AddWithValue("@password", password); // 执行查询... } ``` 2. 输入验证和过滤:在接受用户输入之前,进行输入验证和过滤是一种重要的安全措施。可以使用正则表达式、白名单过滤或其他校验机制来验证用户输入。确保只接受预期的输入,并拒绝或处理任何异常或恶意的输入。 3. 限制数据库权限:为了最小化攻击面,应该为数据库连接使用具有最低权限的账户。确保数据库账户只有执行必要操作的权限,并限制对敏感数据的访问。 4. 避免拼接 SQL 字符串:尽量避免直接拼接用户输入的值到 SQL 查询字符串中。如果需要动态构建查询语句,可以使用 StringBuilder 或类似的工具来安全地构建查询字符串。 5. 使用存储过程:存储过程是预编译的 SQL 代码,可以防止 SQL 注入攻击。通过使用存储过程,可以将用户输入的值作为参数传递给存储过程,而不是直接嵌入到 SQL 查询中。 综上所述,采取这些措施可以帮助您有效地防止 SQL 注入攻击。但是请记住,安全是一个持续的过程,需要综合考虑多种安全性措施来保护应用程序和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值