sql过滤

最新推荐文章于 2024-08-11 22:34:44 发布
最新推荐文章于 2024-08-11 22:34:44 发布
阅读量265 收藏
点赞数
文章标签: sql过滤 过滤字符串 字符串过滤 注入脚本 防注入脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011155153/article/details/88822097
版权

 /// <summary>
    /// sql过滤
    /// </summary>
    public static class Inpouring
    {
        /// <summary>
        /// 过滤不安全的字符串
        /// </summary>
        /// <param name="Str"></param>
        /// <returns></returns>
        public static string FilteSQLStr(this string Str)
        {
            Str = Str.Replace("'", "");
            Str = Str.Replace("\"", "");
            Str = Str.Replace("&", "&");
            Str = Str.Replace("<", "<");
            Str = Str.Replace(">", ">");
            Str = Str.Replace("delete", "");
            Str = Str.Replace("update", "");
            Str = Str.Replace("insert", "");
            return Str.TryString();
        }

        #region 过滤 Sql 语句字符串中的注入脚本
        /// <summary>
        /// 过滤 Sql 语句字符串中的注入脚本
        /// </summary>
        /// <param name="source">传入的字符串</param>
        /// <returns>过滤后的字符串</returns>
        public static string SqlFilter(string source)
        {
            //单引号替换成两个单引号
            source = source.Replace("'", "''");
            //半角封号替换为全角封号,防止多语句执行
            source = source.Replace(";", ";");
            //半角括号替换为全角括号
            source = source.Replace("(", "(");
            source = source.Replace(")", ")");
            ///要用正则表达式替换,防止字母大小写得情况
            //去除执行存储过程的命令关键字
            source = source.Replace("Exec", "");
            source = source.Replace("Execute", "");
            //去除系统存储过程或扩展存储过程关键字
            source = source.Replace("xp_", "x p_");
            source = source.Replace("sp_", "s p_");
            //防止16进制注入
            source = source.Replace("0x", "0 x");
            return source;
        }
        #endregion

        /// 过滤SQL字符。
        /// </summary>
        /// <param name="str">要过滤SQL字符的字符串。</param>
        /// <returns>已过滤掉SQL字符的字符串。</returns>
        public static string ReplaceSQLChar(this string str)
        {
            if (str == string.Empty)
            {
                return string.Empty;
            }

            str = str.Replace("'", "‘");
            str = str.Replace(";", ";");
            str = str.Replace(",", ",");
            str = str.Replace("?", "?");
            str = str.Replace("<", "<");
            str = str.Replace(">", ">");
            str = str.Replace("(", "(");
            str = str.Replace(")", ")");
            str = str.Replace("@", "@");
            str = str.Replace("=", "=");
            str = str.Replace("+", "+");
            str = str.Replace("*", "*");
            str = str.Replace("&", "&");
            str = str.Replace("#", "#");
            str = str.Replace("%", "%");
            str = str.Replace("$", "¥");
            return str;
        }

        /// <summary>
        /// 过滤标记
        /// </summary>
        /// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param>
        /// <returns>已经去除标记后的文字</returns>
        public static string NoHtml(this string Htmlstring)
        {
            if (string.IsNullOrWhiteSpace(Htmlstring))
            {
                return "";
            }
            else
            {
                //删除脚本
                Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase);
                //删除HTML
                Htmlstring = Regex.Replace(Htmlstring, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"([\r\n])[\s]+", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"-->", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"<!--.*", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(quot|#34);", "\"", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(amp|#38);", "&", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(lt|#60);", "<", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(gt|#62);", ">", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(nbsp|#160);", " ", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(iexcl|#161);", "\xa1", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(cent|#162);", "\xa2", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(pound|#163);", "\xa3", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&(copy|#169);", "\xa9", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, @"&#(\d+);", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
                //删除与数据库相关的词
                Htmlstring = Regex.Replace(Htmlstring, "select", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "insert", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "delete from", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "count''", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "drop table", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "truncate", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "asc", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "mid", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "char", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "exec master", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "and", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "net user", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "or", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "net", "", RegexOptions.IgnoreCase);
                //Htmlstring = Regex.Replace(Htmlstring, "*", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "-", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "delete", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "drop", "", RegexOptions.IgnoreCase);
                Htmlstring = Regex.Replace(Htmlstring, "script", "", RegexOptions.IgnoreCase);
                //特殊的字符
                Htmlstring = Htmlstring.Replace("<", "");
                Htmlstring = Htmlstring.Replace(">", "");
                Htmlstring = Htmlstring.Replace("*", "");
                Htmlstring = Htmlstring.Replace("-", "");
                Htmlstring = Htmlstring.Replace("?", "");
                Htmlstring = Htmlstring.Replace("'", "''");
                Htmlstring = Htmlstring.Replace(",", "");
                Htmlstring = Htmlstring.Replace("/", "");
                Htmlstring = Htmlstring.Replace(";", "");
                Htmlstring = Htmlstring.Replace("*/", "");
                Htmlstring = Htmlstring.Replace("\r\n", "");
                Htmlstring = Htmlstring.Trim();
                return Htmlstring;
            }
        }
        #region 抽象属性

        /// <summary>
        /// 数据库 True 和 False 值的设定
        /// </summary>
        private static int TrueValue { get; } = 1;

        /// <summary>
        /// False 值设定
        /// </summary>
        private static int FalseValue { get; } = 0;

        /// <summary>
        /// LIKE ‘%’
        /// </summary>
        private static string LikeString { get; } = "%";

        private static string GetDateTimeSqlString(DateTime date, string format)
        {
            return ("'" + date.ToString(string.IsNullOrEmpty(format) ? @"yyyy-MM-dd HH\:mm\:ss" : format) + "'");
        }

        #endregion
        /// <summary>
        /// sql语句拼接字段处理函数
        /// </summary>
        /// <param name="value">value</param>
        /// <returns></returns>
        public static string GetLikeSqlValueString(this object value)
        {
            return GetLikeSqlValueString(value, true, true, null);
        }
        /// <summary>
        /// sql语句拼接字段处理函数
        /// </summary>
        /// <param name="value"></param>
        /// <param name="isLeftLike">左</param>
        /// <param name="isRightLike">右</param>
        /// <param name="dateFormat">时间格式</param>
        /// <returns></returns>
        public static string GetLikeSqlValueString(this object value, bool isLeftLike, bool isRightLike, string dateFormat)
        {
            string dateTimeSqlString = "";
            if ((value == null) || (value == DBNull.Value))
            {
                return "NULL";
            }
            if (value is DateTime)
            {
                dateTimeSqlString = GetDateTimeSqlString((DateTime)value, dateFormat);
            }
            else if (value is bool)
            {
                if ((bool)value)
                {
                    dateTimeSqlString = TrueValue.ToString();
                }
                else
                {
                    dateTimeSqlString = FalseValue.ToString();
                }
            }
            else if ((((value is decimal) || (value is short)) || ((value is int) || (value is long))) || ((((value is double) || (value is byte)) || ((value is sbyte) || (value is float))) || (((value is ushort) || (value is uint)) || (value is ulong))))
            {
                dateTimeSqlString = value.ToString();
            }
            else if (((value is string) || (value is char)) || (value is Guid))
            {
                dateTimeSqlString = EncodeLikeSqlValueString(value.ToString());
            }
            else
            {
                dateTimeSqlString = null;
            }
            if (dateTimeSqlString == null)
            {
                return dateTimeSqlString;
            }
            if (isLeftLike && isRightLike)
            {
                return ("'" + LikeString + dateTimeSqlString + LikeString + "'");
            }
            if (isLeftLike)
            {
                return ("'" + LikeString + dateTimeSqlString);
            }
            return ("'" + dateTimeSqlString + LikeString + "'");
        }
        public static string GetSqlValueString(this object value)
        {
            return GetSqlValueString(value, null);
        }

        public static string GetSqlValueString(this object value, string dateFormat)
        {
            if ((value == null) || (value == DBNull.Value))
            {
                return "NULL";
            }
            if (value is DateTime)
            {
                return GetDateTimeSqlString((DateTime)value, dateFormat);
            }
            if (value is bool)
            {
                if ((bool)value)
                {
                    return TrueValue.ToString();
                }
                return FalseValue.ToString();
            }
            if ((((value is decimal) || (value is short)) || ((value is int) || (value is long))) || ((((value is double) || (value is byte)) || ((value is sbyte) || (value is float))) || (((value is ushort) || (value is uint)) || (value is ulong))))
            {
                return value.ToString();
            }
            if (((value is string) || (value is char)) || (value is Guid))
            {
                return ("'" + value.ToString().Replace("'", "''") + "'");
            }
            return null;
        }
        // <summary>
        /// LIKE语句拼接
        /// </summary>
        /// <param name="value"></param>
        /// <returns></returns>
        private static string EncodeLikeSqlValueString(this string value)
        {
            if (string.IsNullOrEmpty(value))
            {
                return "";
            }
            value = value.Replace("'", "''");
            string[] strArray = new string[] { "[", "%", "_", "^" };
            for (int i = 0; i < strArray.Length; i++)
            {
                value = value.Replace(strArray[i], "[" + strArray[i] + "]");
            }
            return value;
        }

    }
 

322829
关注
filter SQL注入(替换特殊字符版)
09-29
filter SQL注入 替换特殊不合格字符。 <!-- SQL注入 SQLFilter frame.struts.SQLFilter SQLFilter /* --> 配置文件
SQL必知必会-过滤数据
魂小猫的博客
09-10 2201
过滤数据 数据库表一般包含大量的数据,很少需要检索表中的所有行。通常只会根据特定操作或报告的需要提取表数据的子集。只检索所需数据需要指定 搜索条件( search criteria ),搜索条件也称为过滤条件( filter condition )。 使用 WHERE 子句 在SELECT语句中,数据根据WHERE子句中指定的搜索条件进行过滤。WHERE子句在表名(FROM子句)之后给出,如下所示: SELECT ...
使用SQL进行复杂过滤分组,巧妙组合应用详解
最新发布
zgt_certificate的博客
08-11 461
例如,可以根据客户ID对订单数据进行分组,以便计算每个客户的订单数量。是指对数据进行分组操作后,再对这些分组结果进行进一步的筛选。首先,内部查询将销售数据根据地区和销售代表ID进行分组,并计算每个分组的总销售额。子句类似,但它作用于分组后的数据,而不是分组之前的数据。子句在分组之后过滤数据,适用于聚合后的分组条件筛选。子句用于在分组后过滤数据,通常针对聚合后的分组条件。子句用于在分组前过滤数据,通常针对单个行的条件。子句在分组之前过滤数据,适用于单行的条件筛选。根据客户ID分组,计算每个客户的订单总金额。
SQLAlchemy中filter函数的使用
m0_67093160的博客
09-26 2180
SQLAlchemy中filter函数的使用
sqlchemy filterfilter_by
liulanba的博客
10-25 3353
3、在使用多条件匹配的时候,filter需要借助sqlalchemy里的and_或者连续调用filter来实现, 而filter_by不需要,直接把多个匹配条件写在一起。1、filter引用列名时,使用“类名.属性名”的方式,比较使用两个等号“==”2、filter_by引用列名时,使用“属性名”,比较使用一个等号“=”4、在使用多条件匹配时,用到>=、>、
模糊查询写法
m0_47520601的博客
08-22 203
模糊查询写法
SpringBoot整合MybatisSQL过滤@Intercepts的实现
08-19
本篇将详细讲解如何在SpringBoot环境中利用Mybatis的拦截器实现SQL过滤功能,以避免在每个SQL语句中手动添加用户ID的过滤条件。 首先,让我们理解@Intercepts注解的作用。它是Mybatis提供的用于创建拦截器实例的...
sql过滤和排序
01-16
描述了oracle sql过滤和排序功能, 对于初学者是个不错的选择
SQL过滤止被注入,造成财产损失代码,java实现
01-31
SQL过滤止被注入,造成财产损失代码,java实现。SQL过滤止被注入,造成财产损失代码,java实现。SQL过滤止被注入,造成财产损失代码,java实现。SQL过滤止被注入,造成财产损失代码,java实现。SQL...
jdbc日志慢SQL过滤工具
04-26
"jdbc日志慢SQL过滤工具" 是一个专门针对JDBC(Java Database Connectivity)的日志处理工具,它的主要功能是筛选并提取出那些执行时间较长的SQL语句,即“慢SQL”。这样的工具对于数据库性能优化和监控来说至关重要...
C#实现过滤sql特殊字符的方法集合
09-03
虽然这不是直接的SQL过滤,但与SQL注入御紧密相关,因为它涉及到用户输入的安全性。 ```csharp public static string FilterHtmlTags(string input){ // 使用正则表达式移除HTML标签 // 例如:input = Regex....
过滤sql字符串
07-10
过滤sql字符串 截图不是文本文件.简单的过滤sql语句注入
SQL 聚合函数中的数据过滤
Tony.Dong的专栏
03-07 4800
本文介绍了如何在 SQL 聚合函数中进行数据过滤,基于满足特定条件的部分数据进行汇总。方法包括在聚合函数中使用 CASE 表达式对数据进行转换,以及 PostgreSQL 对聚合函数的 FILTER 扩展选项两种方法。本文描述的方法支持但不限于 Oracle、MySQL/MariaDB、Microsoft SQL Server、PostgreSQL 以及 SQLite 等数据库。
SQL优化-Filter正名
songjian1104的专栏
10-20 484
之前我写过一篇博客分析Filter也有性能好的一面,最近看了一下,感觉说的不够浅显易懂,这里再写一篇。 之前博客链接: https://blog.csdn.net/songjian1104/article/details/98325658 1 数据准备 drop table emp1; drop table dept1; create table emp1 as select * fr...
SQL FILTER 关键字的应用
weixin_47467938的博客
05-13 1284
SELECT count(1) FILTER (WHERE flag_xiaofang = 1) AS xiaofang, count(1) FILTER (WHERE flag_weihua = 1) AS weihua, count(1) FILTER (WHERE flag_huanbao = 1) AS huanbao, count(1) FILTER (WHERE flag_sanchangsuo = 1) AS sancha
MySQL数据库>约束>>非空、唯一、主键、外键约束的使用方法
越努力,越幸福!
08-23 2184
约束 概念:对表中的数据进行限定,保证数据额正确性、有效性和完整性。 分类: 1.主键约束:primary key 2.非空约束:not null 3.唯一约束:unique 4.外键约束:foreign key 非空约束:not null 1.创建表时添加约束 CR...
SQL Server过滤数据语句
weixin_57775009的博客
03-20 3758
1.WHERE语句 数据库一般都会有庞大的数据,常常会使用到指定行数据,这就需要进行筛选和过滤,在SQL语句中要从表中获取满足一行或多个条件的行 SQL语句: SQL语句分析: 从sc中检索列,返回score的值大于60的行 输出结果: 提示:在SQL语句中同时有ORDER BY和WHERE时,应遵循ORDER BY时SQL语句最后语句规则,理应在WHERE后面,否则会报错 2.操作符 = 等于 <>,!= 不等于 < 小于 <= 小于...
SQL语言中的过滤数据
weixin_54835055的博客
03-28 5500
(1)Select distinct语句 ①select distinct 语句检索指定列列表中的唯一不同值。从结果中删除列中相同的值(即为: 去重复) 例子: ②distinct 带有null值示例: (2)SQL Server where语句 要从表中获取满足一行或者多个条件的行,请使用where语句 例子: ①指定搜索条件以过滤from子句返回的行。 ②...
spark sql 过滤字段
03-31
在Spark SQL中,可以使用WHERE子句过滤字段。WHERE子句用于指定一个条件,只有符合该条件的行才会被返回。 例如,假设有一个名为“person”的表,其中包含“name”和“age”两个字段。如果我们想只返回年龄大于等于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值