SQL防注入

最新推荐文章于 2023-05-05 11:46:55 发布
最新推荐文章于 2023-05-05 11:46:55 发布
阅读量81 收藏
点赞数
分类专栏: 趟过的坑 文章标签: SQL注入 接口安全 正则表达式 参数过滤 安全检查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36712606/article/details/115485547
版权 
  //start SQL防注入 ----------------改漏洞
        var getParams = ctx.query;
        var postParams = ctx.request.body;
        var pattern = new RegExp("[~#$^{}\]");
        var pattern1 = new RegExp("[`~@#$^*|{}:;\\[\\]<>/……——|]");
        var numRe = /^[0-9]+.?[0-9]*$/;
        var re = /select|update|delete|truncate|join|union|exec|insert|drop|count/i;
        console.log(getParams, 'getParams')
        console.log(postParams, 'postParams1')
        var jsonGetParams = filterValue(getParams)
        var jsonPostParams = filterValue(postParams)
        console.log(jsonGetParams, 'postParams2')
        console.log(ctx.request.url, '地址==========')

        if (jsonGetParams.pageNum) {
            if (!numRe.test(jsonGetParams.pageNum) || !numRe.test(jsonGetParams.pageSize)) {
                ctx.response.status = 500;
            }
        }
        if (jsonPostParams.pageNum) {
            if (!numRe.test(jsonPostParams.pageNum) || !numRe.test(jsonPostParams.pageSize)) {
                ctx.response.status = 500;
            }
        }
        if (ctx.request.url.indexOf('access_token')) {

        } else {


            for (let i = 0; i < jsonGetParams.length; i++) {

                if (re.test(jsonGetParams[i]) || pattern1.test(jsonGetParams[i])) {

                    ctx.response.status = 500;


                    // ctx.body = '<h1>非法参数提交,请重新输入</h1>';

                    // console.log(ctx.response, 'ctx.response');

                    // return false;
                } else { }

            }
        }
        for (let i = 0; i < jsonPostParams.length; i++) {

            if (re.test(jsonPostParams[i]) || pattern.test(jsonPostParams[i])) {
                console.log(ctx.request.url, '地址')
                if (ctx.request.url.indexOf('/inserttsj') > -1 || ctx.request.url.indexOf('/inserttsjupdate') > -1 || ctx.request.url.indexOf('/yjfkData') > -1
                ) {
                    //过滤登录,意见反馈,提问,修改提问,评价专家接口
                } else {
                    ctx.response.status = 500;

                    // return false;
                }
            }
        }

 

夕雾不闻钟
关注
专栏目录
sql 注入POST Get 请求参数到Body常用正则表达式
andy5520的博客
03-31 1261
sql 注入POST Get 请求参数到Body常用正则表达式
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
springboot 请求过程sql注入-请求body加密
ruo_yuan
07-22 1723
springboot 请求过程sql盲注-请求body加密 背景 博主好不容易熬到了项目终于把bug修改完毕,开始迎来了项目的安全测试和性能测试以及疲劳测试。于是就先做了安全测试,公司的安全测试目前是由软件完成的叫:Appscan 以及monkey(是开发的app)完成。扫描之后发现出现了十多个sql盲注问题。看到这问题内心是凉凉的,因为上一次扫描出了几十个盲注问题,让我改了很多代码。百度之后统一采用mybatis的#{}可以解决大部分盲注问题。因为我们项目业务比较复杂,所以里面有直接的jdbc操作,所以
Spring MVC御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 567
本文说一下SpringMVC如何御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
解决在Filter中读取Request中的流后, 然后在Controller中@RequestBody的参数无法注入而导致 400 错误
java_gchsh的博客
01-30 7162
摘要: 大家知道, StringMVC中@RequestBody是读取的流的方式, 如果在之前有读取过流后, 发现就没有了. 我的Filter为了验证请求参数(包括Request Payload的数据)是否有非法符号(sql注入)package com.ks.tow.common.filter; import java.io.BufferedReader; import java
sql注入
iloki的博客
02-23 950
import java.util.regex.Pattern; /** * 过滤sql注入工具类 */ public class SqlCheckUtil { /** * 过滤sql注入关键字 * * @param paramStr * @return true代表合法, false 代表不合法参数 * \\b 表示 限定单词边界 比如 select 不通过 1select则是可以的 */ private stat.
SQL注入正则表达式
绅士jiejie的博客
07-16 2722
SQL注入正则表达式
sql注入详解
最新发布
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
简单了解Mybatis如何实现SQL注入
08-25
Mybatis实现SQL注入 Mybatis是当前流行的持久层框架之一,广泛应用于各种Java项目中。然而,在使用Mybatis时,开发者经常会遇到SQL注入问题,这是由于Mybatis使用了$和#两个不同的占位符来SQL注入。今天,...
易语言源码易语言SQL注入源码.rar
02-17
在这个“易语言源码易语言SQL注入源码.rar”压缩包中,包含的是易语言编写的关于SQL注入的源代码。SQL注入是一种常见的网络安全攻击手段,通过构造恶意的SQL语句,攻击者可以绕过身份验证,获取、修改、删除...
易语言SQL注入源码-易语言
06-13
本压缩包提供的是易语言实现的SQL注入源码,旨在帮助开发者构建安全的数据库访问层,止此类攻击。 SQL注入攻击的基本原理是利用程序对用户输入的数据未做充分检查或过滤,直接拼接到SQL查询语句中执行。例如,...
php简单实现sql注入的方法
12-18
本文将详细讲解如何使用PHP来简单实现SQL注入。 首先,PHP的`addslashes()`函数是SQL注入的基础。这个函数会在指定字符串中的预定义字符前添加反斜杠,这些字符包括单引号('),双引号("),反斜杠(\)和NULL。...
关于@RequestBody注解只能注入对象和map的问题
WoddenFish的博客
09-10 6553
前后端分离开发模式下,前后端数据交互全部采用json,所以在后端在采用spring框架的时候都会使用@ResponseBody(后端返回参数封装为json格式)和@RequestBody(前端请求携带json参数解析)注解。但是在实际开发中,往往@RequestBody的使用会比较令人难受(超级难受),因为它spring官方只支持到将json解析为一个定义好的对象或者是一个通用性的...
亲测SpringBoot 参数传递以及@RequestBody注解---踩过的坑
fengzyf的博客
10-30 6万+
SpringBoot 参数传递以及@RequestBody注解注意点 前台正确的js书写格式是: //点击查询, 执行下面这个函数 $(&amp;quot;#searchByCriteria&amp;quot;).click(function () { //var paramdata = $(&amp;quot;#bck_qry_criteria_form&amp;quot;).serializeJson();//serializeJson()是自定义的...
el-table内表单校验
qq_36712606的博客
06-29 3831
el-table单元格校验
IOS钉钉打开网址无法上传图片
qq_36712606的博客
06-29 3170
钉钉iOS兼容性问题
Element UI table勾选数据回显的问题
qq_36712606的博客
06-29 990
要求:表格勾选数据,翻页后再勾选,要求数据保存,回到上一页,已勾选的要回显出来 问题:按要求设置了row-key,reserve-selection也为true,但是第一页的数据到第二页自己勾选中了第二页最后一条数据 原因:row-key设置有问题,这里row-key是指数组数据的唯一字段,但是我的字段不叫id 完全是没想明白原理瞎用导致的问题,记下来 ...
el-table内嵌套table的时间管理器限制
qq_36712606的博客
07-15 963
如下图,子表格中的节点类型若为前置节点,则预计完成时间必须在父表格的预计完成时间之前,否则相反。方法二把pickerOptions放到计算函数里面,拿到父表格的row进行判断。使用focus方法获取到父表格的数据,再放进时间选择器内禁用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值