预防SQL注入及XSS攻击

已于 2023-06-07 18:11:42 修改
阅读量173 收藏
点赞数
分类专栏: PHP 文章标签: php
于 2023-01-30 16:05:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38388715/article/details/128804334
版权 
  public static function checkSQLParam($data){
        $arrSensetive = array("'", ";", "<>",  "delete",
            "update ", "modify ", "drop ", "truncate ", "restore ", "backup ", "char", "chr(0)",
            "declare ", "procedure ", "commit", "exec ","jscript", "javascript", "vbscript", "script", "iframe", "extractvalue","sleep","&","*","prompt","sCrIpT","and","`","~","!","@","#","$","%","^","(",")","+","=","|","{","}",":",";","[","]",".","<",">","?","~","!","#","¥","%","…","TITLE","INPUT","div","style","confirm","prompt","oNmOuSeOvEr","oncopy","oncut","document","svg","onload","onerror","object","onbeforeload","html","onMouseMove");
        if(!is_array($data)){
            $data = json_decode($data, true);
        }
        if(is_array($data)) {
            foreach ($data as $k => $v) {
                foreach ($arrSensetive as $w) {
                    if (is_array($v)) {
                        $v = json_encode($v);
                    }
                    if (stripos(strtolower($v), $w) !== false) {
                        yii::pushlog('包含非法请求参数|' . json_encode($data));
                        yii::pushlog('包含非法请求参数1|' . $v.'|'. $w);
                        throw new \yii\web\HttpException(401, '包含非法请求参数');
//                        Yii::$app->getResponse()->setStatusCode(401);
//                        Yii::$app->getResponse()->format = yii\web\Response::FORMAT_JSON;
//                        return  json_encode(array(
//                            'msg' => '包含非法请求参数',
//                            'err' => '401'
//                        ));
                    }
                }
            }
        }

    }

LB爱生活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node-mysql防止SQL注入的方法总结
09-09
大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。
java 防止XssSQL注入攻击
负数
02-14 2491
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
第五章:nodejs koa2 mysql redis 全栈开发--安全(sql注入xss攻击
吾日三省吾身:高否?富否?帅否? 否!否!否! 安心上班吧……
10-25 1424
一、什么是sql注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。是最原始、最简单的攻击,从有了web2.0就有了sql注入攻击。 这里举一个简单的典型例子: 我们知道,用户登录的时候我们要去查询用户表(users),对比用户名(username)和密码(password) SQL语句: // 正常...
如何预防SQL注入XSS攻击
一个傻子程序媛的博客
06-10 5011
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
node mysql 安全_node-mysql防止SQL注入的方法总结
weixin_39920415的博客
01-19 188
SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。node-mysql防止SQL注入为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种:方法一:使用escape()对传入参数进行编码:参数编码...
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
整理php防注入和XSS攻击通用过滤
12-19
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改、删除敏感数据,甚至完全控制服务器。为了防止这种攻击,开发者需要对用户输入进行严格的过滤和验证,这就是输入值/...
SQL注入技术和跨站脚本攻击的检测
12-16
3. 对输出内容进行编码或转义,防止XSS攻击。 4. 实施严格的输入验证,确保输入符合预期格式。 5. 更新和维护Web应用程序及数据库系统的安全补丁。 6. 使用Web应用防火墙(WAF)提供额外保护。 总的来说,检测SQL...
sql注入xss攻击
Zhooson的博客
05-31 1834
SQL注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 [1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过...
springboot项目防止XSS攻击sql注入
yy1209357299的博客
02-07 3557
springboot项目防止XSS攻击sql注入
【nodejs学习笔记】安全:sql注入xss攻击的概念和预防及密码加密的方式
种一棵树最好的时间是十年前,其次是现在。
10-31 1174
后端安全:sql注入xss 攻击的概念和预防。密码加密的方法等。
【面试】项目为什么能够避免SQL注入
最新发布
lusonnet的博客
04-18 457
{ } 底层使用的是PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个’/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。匹配的是一个占位符,相当于JDBC中的一个?,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止SQL注入问题。匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接。
学习笔记:node-mysql防止SQL注入
08-10 573
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:可以看到除了账号密码之外
热门推荐
qq_24884955的博客
04-13 1万+
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:
node.js koa实现命令注入漏洞
zxのdream
08-26 2276
使用koa写的命令注入漏洞题
yii配置log日志功能
qq_34345149的博客
03-07 907
首先修改config下的web.php或者main.php 'log' =&gt; [ 'traceLevel' =&gt; YII_DEBUG ? 3 : 0, 'targets' =&gt; [ [ 'class' =&gt; 'yii\log\FileTarget', ...
NodeJS mysql需要注意sql注入
weixin_39415598的博客
07-07 558
本文简介 点赞 + 关注 + 收藏 = 学会了 虽然现在不会直接使用 原生NodeJS 的方式开发后台,但了解一下 SQL注入 还是很有必要的。 本文使用 NodeJS + MySQLSQL注入 进行讲解。 SQL注入攻击 是很古老的攻击方式了,自从 web2.0 诞生后就有 SQL注入攻击。它通常出现在 输入框 、文本域 等前端组件中。在输入的内容里加入 SQL语句 ,并一同传给后台。 后台一不小心就会将前端传过来的 SQL语句 拼接到自己的 SQL语句 中,最终拼接成一段攻击代码。 所
防止xss攻击sql注入
三石博客
03-28 4169
XSS xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。 1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用
课程11-Web应用的攻击及防御技术(下)1
08-03
他们学会了如何利用SQL注入漏洞,实现对数据库的恶意操控,以及如何通过正确的输入验证和数据过滤来预防SQL注入攻击。通过这一实践,学生不仅加深了对SQL注入漏洞的理解,还提升了自身的安全意识和防御能力。 另外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值