sqlserver sql注入过滤帮助类

最新推荐文章于 2024-04-20 12:00:00 发布
最新推荐文章于 2024-04-20 12:00:00 发布
阅读量650 收藏
点赞数
分类专栏: sqlserver 文章标签: sql sqlserver linq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011511086/article/details/122539874
版权 
//创建时间:2022-1-12 17:30:06
//作者:XXX
//功用:SQL注入过滤,过滤传入字符串中的非法字符

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace WebInfoFormReport.Model.Tool
{
    /// <summary>
    /// SQL注入过滤
    /// </summary>
    public static class SqlFilter
    {
        /// <summary>
        /// SQL注入过滤,过滤掉特殊字符串
        /// </summary>
        /// <param name="sqlParameter">参数</param>
        /// <returns>返回过滤后的字符串</returns>
        public static string QueryParameterFilter(this string sqlParameter)
        {
            sqlParameter= sqlParameter.Trim();
            sqlParameter = sqlParameter.Replace("--", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("'", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("@@", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("^", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("<", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace(">", "", StringComparison.OrdinalIgnoreCase);

            //操作
            sqlParameter = sqlParameter.Replace("delete", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("drop", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("exec", "", StringComparison.OrdinalIgnoreCase);         
            sqlParameter = sqlParameter.Replace("create", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("union", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("select", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("execute", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("backup", "", StringComparison.OrdinalIgnoreCase);

            //命令
            sqlParameter = sqlParameter.Replace("xp_", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("sp_", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("db_", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("is_", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("host_", "", StringComparison.OrdinalIgnoreCase);

            //表
            sqlParameter = sqlParameter.Replace("sysdatabases", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("sysobjects", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("syscolumns", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("tempdb", "", StringComparison.OrdinalIgnoreCase);

            //函数
            sqlParameter = sqlParameter.Replace("asc", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("abc", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("unicode", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("nchar", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("substring", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("use", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("count", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("len", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("ascii", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("cast", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("exists", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("is_member", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("is_srvrolemember", "", StringComparison.OrdinalIgnoreCase);

            //关键词
            //sqlParameter = sqlParameter.Replace("and", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("where", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("xtype", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("inner", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("join", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("output ", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("with", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("master", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("truncate", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("declare", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("array", "", StringComparison.OrdinalIgnoreCase);        
            //sqlParameter = sqlParameter.Replace("alter", "", StringComparison.OrdinalIgnoreCase);        
            sqlParameter = sqlParameter.Replace("database", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("set", "", StringComparison.OrdinalIgnoreCase);         
            //sqlParameter = sqlParameter.Replace("dbid", "", StringComparison.OrdinalIgnoreCase);         
            //sqlParameter = sqlParameter.Replace("top", "", StringComparison.OrdinalIgnoreCase);         
            //sqlParameter = sqlParameter.Replace("delay ", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("waitfor", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("order", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("sysadmin", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("for", "", StringComparison.OrdinalIgnoreCase);
            sqlParameter = sqlParameter.Replace("@echo", "", StringComparison.OrdinalIgnoreCase);
            //sqlParameter = sqlParameter.Replace("procedure", "", StringComparison.OrdinalIgnoreCase);           
            //sqlParameter = sqlParameter.Replace("assembly", "", StringComparison.OrdinalIgnoreCase);           

            return sqlParameter;
        }
    }
}
王焜棟琦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sql注入详解
m0_67392811的博客
06-12 5770
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
防止SQL注入的四种方案
dehuisun的专栏
09-05 9413
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
sql注入漏洞
qz362228的博客
08-11 2473
sql注入漏洞原理,类型,防御方式,绕过技巧
sql注入(三)绕过方法及防御手段
wangluoanquan111的博客
04-20 1134
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 675
Java项目防止SQL注入的几种方案
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
Sql server之sql注入
12-14
 关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下  防范sql注入的方法无非有以下几种:  1.使用类型安全的SQL参数  2.使用参数化输入...
sqlServer2012驱动包
11-30
这个驱动包包含了与SQL Server通信所需的类,尤其是`com.microsoft.sqlserver.jdbc.Driver`,它是JDBC驱动的实现,使得Java应用程序能够与SQL Server建立连接。 配置Spring的德鲁伊数据源(Druid DataSource)是...
C#防SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一  在Web.config文件中
Sql Server 如何去掉内容里面的Html标签
01-19
分享一个方法,去掉内容里的Html标签,测试数据: DECLARE @str NVARCHAR(max)=' <!DOCTYPE html> <html> <head> </head> <body> 哈哈哈 ... SET @str = STUFF(@str,
检测数据表字段非法字符
08-09
检测数据表字段非法字符:官方正版工具,请放心使用啊
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 905
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
sql注入过滤
wzx_it的专栏
12-20 526
///     /// Sql过滤器     ///     public class SqlCleaner     {         private static List injectWords = new List();         ///         /// 静态构造函数         ///         static SqlCleaner()
ctf sql注入关键词绕过【积累中】
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
SQL注入过滤工具类-Java版
分享·收获
04-23 2161
import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.commons.lang3.StringUtils; import org.slf4j.Logger; import org.slf4j...
防止SQL注入的工具类
hit、run
09-23 2072
package com.yxb.common.base.util; import org.apache.commons.lang.StringUtils; /** * SQL过滤 */ public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 * @throws */ ...
SQL注入各类型 讲解及利用 (一)
lendq的Blog
05-07 1万+
简介: SQL注入漏洞产生的原因 SQL Injection 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患 用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作 SQL语句 Structured Query Language 结构化的查询语言,是关系型数据库通讯的标准语言。 查询:SELECT st...
sql server注入查询数据库
最新发布
06-04
SQL Server注入是指攻击者利用程序对输入数据没有进行充分检查过滤的漏洞,向程序中注入恶意的SQL语句,从而达到控制数据库的目的。攻击者可以通过SQL Server注入的方式获取、修改、删除数据库中的数据。 下面是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王焜棟琦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值