防数据库sql注入过滤代码

于 2024-03-10 18:36:10 发布
阅读量502 收藏 7
点赞数 8
文章标签: 数据库 sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012241616/article/details/136606295
版权
文章介绍了PHP中防止SQL注入和跨站脚本攻击的两种方法,包括使用`filter()`函数进行字符串过滤,以及推荐使用`addslashes()`和`htmlspecialchars()`函数进行参数转义,强调了在处理用户输入时的安全措施。
摘要由CSDN通过智能技术生成

防数据库sql注入过滤代码

function filter($str)
{
    if (empty($str)) return false;
    $str = htmlspecialchars($str);
    $str = str_replace( '/', "", $str);
    $str = str_replace( '"', "", $str);
    $str = str_replace( '(', "", $str);
    $str = str_replace( ')', "", $str);
    $str = str_replace( 'CR', "", $str);
    $str = str_replace( 'ASCII', "", $str);
    $str = str_replace( 'ASCII 0x0d', "", $str);
    $str = str_replace( 'LF', "", $str);
    $str = str_replace( 'ASCII 0x0a', "", $str);
    $str = str_replace( ',', "", $str);
    $str = str_replace( '%', "", $str);
    $str = str_replace( ';', "", $str);
    $str = str_replace( 'eval', "", $str);
    $str = str_replace( 'open', "", $str);
    $str = str_replace( 'sysopen', "", $str);
    $str = str_replace( 'system', "", $str);
    $str = str_replace( '$', "", $str);
    $str = str_replace( "'", "", $str);
    $str = str_replace( "'", "", $str);
    $str = str_replace( 'ASCII 0x08', "", $str);
    $str = str_replace( '"', "", $str);
    $str = str_replace( '"', "", $str);
    $str = str_replace("", "", $str);
    $str = str_replace("&gt", "", $str);
    $str = str_replace("&lt", "", $str);
    $str = str_replace("<SCRIPT>", "", $str);
    $str = str_replace("</SCRIPT>", "", $str);
    $str = str_replace("<script>", "", $str);
    $str = str_replace("</script>", "", $str);
    $str = str_replace("select","",$str);
    $str = str_replace("join","",$str);
    $str = str_replace("union","",$str);
    $str = str_replace("where","",$str);
    $str = str_replace("insert","",$str);
    $str = str_replace("delete","",$str);
    $str = str_replace("update","",$str);
    $str = str_replace("like","",$str);
    $str = str_replace("drop","",$str);
    $str = str_replace("DROP","",$str);
    $str = str_replace("create","",$str);
    $str = str_replace("modify","",$str);
    $str = str_replace("rename","",$str);
    $str = str_replace("alter","",$str);
    $str = str_replace("cas","",$str);
    $str = str_replace("&","",$str);
    $str = str_replace(">","",$str);
    $str = str_replace("<","",$str);
    $str = str_replace(" ",chr(32),$str);
    $str = str_replace(" ",chr(9),$str);
    $str = str_replace("    ",chr(9),$str);
    $str = str_replace("&",chr(34),$str);
    $str = str_replace("'",chr(39),$str);
    $str = str_replace("<br />",chr(13),$str);
    $str = str_replace("''","'",$str);
    $str = str_replace("css","'",$str);
    $str = str_replace("CSS","'",$str);
    $str = str_replace("<!--","",$str);
    $str = str_replace("convert","",$str);
    $str = str_replace("md5","",$str);
    $str = str_replace("passwd","",$str);
    $str = str_replace("password","",$str);
    $str = str_replace("../","",$str);
    $str = str_replace("./","",$str);
    $str = str_replace("Array","",$str);
    $str = str_replace("or 1='1'","",$str);
    $str = str_replace(";set|set&set;","",$str);
    $str = str_replace("`set|set&set`","",$str);
    $str = str_replace("--","",$str);
    $str = str_replace("OR","",$str);
    $str = str_replace('"',"",$str);
    $str = str_replace("*","",$str);
    $str = str_replace("-","",$str);
    $str = str_replace("+","",$str);
    $str = str_replace("/","",$str);
    $str = str_replace("=","",$str);
    $str = str_replace("'/","",$str);
    $str = str_replace("-- ","",$str);
    $str = str_replace(" -- ","",$str);
    $str = str_replace(" --","",$str);
    $str = str_replace("(","",$str);
    $str = str_replace(")","",$str);
    $str = str_replace("{","",$str);
    $str = str_replace("}","",$str);
    $str = str_replace("-1","",$str);
    $str = str_replace("1","",$str);
    $str = str_replace(".","",$str);
    $str = str_replace("response","",$str);
    $str = str_replace("write","",$str);
    $str = str_replace("|","",$str);
    $str = str_replace("`","",$str);
    $str = str_replace(";","",$str);
    $str = str_replace("etc","",$str);
    $str = str_replace("root","",$str);
    $str = str_replace("//","",$str);
    $str = str_replace("!=","",$str);
    $str = str_replace("$","",$str);
    $str = str_replace("&","",$str);
    $str = str_replace("&&","",$str);
    $str = str_replace("==","",$str);
    $str = str_replace("#","",$str);
    $str = str_replace("@","",$str);
    $str = str_replace("mailto:","",$str);
    $str = str_replace("CHAR","",$str);
    $str = str_replace("char","",$str);
    return $str;
}
  
  
//更加简便的防止sql注入的方法(推荐使用这个):
  
 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开    
 {    
    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤    
 }    
  
 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉  
    
 $name = str_replace("%", "\%", $name); // 把' % '过滤掉    
  
 $name = nl2br($name); // 回车转换    
  
 $name= htmlspecialchars($name); // html标记转换   
      
 return $name;

PHP防XSS 防SQL注入的代码

/**
 * 过滤参数
 * @param string $str 接受的参数
 * @return string
 */
static public function filterWords($str)
{
    $farr = array(
            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
    );
    $str = preg_replace($farr,'',$str);
    return $str;
}
   
/**
 * 过滤接受的参数或者数组,如$_GET,$_POST
 * @param array|string $arr 接受的参数或者数组
 * @return array|string
 */
static public function filterArr($arr)
{
    if(is_array($arr)){
        foreach($arr as $k => $v){
            $arr[$k] = self::filterWords($v);
        }
    }else{
        $arr = self::filterWords($v);
    }
    return $arr;
}

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量 s t r = str= str=_POST[“str”];的值为:bb’ or 1=‘1。通过addslashes()函数过滤后会变为:bb’ or 1='1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

如通过htmlspecialchars()过滤后为

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

云博客-资源宝
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQL注入过滤函数
“小学生”的专栏
01-07 511
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
众多开源系统使用的过滤SQL注入函数
weixin_34255793的博客
11-16 152
$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_F...
正则表达式SQL注入函数
小丸子的专栏
10-08 8112
<br />       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数写一个SQL注入函数的函数就未免有点繁琐了。下面这个是我自己写的SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 496
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
java 过滤器filtersql注入
热门推荐
谢彬のCSDN专栏
04-04 1万+
XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证;
sql注入的几个简单函数应用
不负好时光的博客
09-18 2860
几个简单的函数有:  trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符(或者其他字符) 此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数,trim() 将去除这些字符: " " (ASCII 32 (0x20)),普通空格符。 "\t" (
SQL学习(二)过滤
雪糕cool的博客
07-16 286
目录 一、单语句简单过滤 二、复合语句高级过滤 1. AND 2. OR 3. 组合顺序 三、使用通配符进行模式模糊过滤 一、单语句简单过滤 SELECT 列名1,列名2 FROM 表名 WHERE 过滤条件; WHERE子句紧跟在FROM表名之后,ORDER BY子句一定是在最后 WHERE子句的操作符包括: 操作符 说明 = 等于(注意字符串...
代码审计 | SQL注入过滤器绕过
最新发布
INSBUG的博客
10-20 106
FILTER_VALIDATE_EMAIL过滤器不允许在邮件地址中出现空格符号,可以使用/**/来代替。在进行数据库操作时,需要使用PDO预处理的方式,SQL注入漏洞的产生。在示例代码中,用户输入的参数被直接用于执行SQL查询操作,这种方式存在潜在的安全风险。尽管代码中使用了过滤器进行过滤,但这种方式依然不足以止攻击者绕过过滤器,从而导致SQL注入漏洞。由于filter_var的返回值被丢弃,因此唯一相关的过滤器是FILTER_VALIDATE_EMAIL。2023年10月20日。
SQL注入函数
07-18 372
  void Check()    {               string sql_injdata = "and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare";//要过虑的关键字        string[] SQL_inj = sql_injdata.Split(|);    
代码详解sql注入和XSS过滤
梦江黎
06-17 1456
代码详解sql注入和XSS过滤
SQL注入常用函数
zgqtxwd的专栏
04-29 548
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
SQL学习四、过滤、数据筛选
沐左的博客
04-16 1万+
数据过滤,即按照条件筛选数据,找出符合条件的数据。这可以说是SQL学习和使用时最核心的地方了。 1、使用简单WHERE 子句 WHERE 子句在表名(FROM 子句)之后给出 比如我们需要在 adjunctlist 中查询 flaw_id = 201902的数据的add_time SELECT add_time FROM adjunctlist WHERE flaw_id = 201902 注意:SQL 过滤与应用过滤 我们应该在查询的时候就使用SQL对数据做好过滤,而不是交给应用去进行数据过滤,这样做
php sql注入攻略,SQL注入与PHP过滤
weixin_39784263的博客
04-02 296
我必须插入一个登录表单以进行有关计算机安全课程的练习…..我已经使用简单的方法通过了第一级' like 1=1--在密码字段中,但是现在在第二级中,我必须再次注入具有相同源代码的相同登录表单,除了用户和pwd由称为lvl2_filter()的函数控制的事实,我认为它是过滤器的一部分.php并且不接受“ =”和“ OR”我该怎么做 ???用户名和密码字段都不能为空include_once 'filt...
高效的SQL注入函数
爱心
08-10 1500
 FUNCTION CHECKSTR(ISTR)DIM ISTR_FORM,SQL_KILL,SQL_KILL_1,SQL_KILL_2,ISTR_KILL IF ISTR="" THEN EXIT FUNCTIONISTR=LCase(ISTR)ISTR_FORM=ISTRSQL_KILL="|and|exec|insert|select|delete|update|count|*|%
-------已搬运------SQL注入过滤 思路 payload 万能密码
Zero_Adam的博客
04-28 1736
目录:一、过滤关键词:1. 过滤 `=` 可用 `like`,`regexp`,`in`来代替:2. 过滤`ascii`,不能用bool盲注了。可用`ord`来代替:3. `,`逗号被过滤了:1. `substr(***,1,1)` 用这个来代替:`substr(***from({})for(1))`2.`limit 0,1` 用这个来代替:`limit 1 offset {}`二、一些小trick1. 关于bool盲注的正确与否三、一些payload:1. 过滤了 空格,但是可以联合查询的bool注
sql注入过滤
weixin_34240657的博客
07-26 357
首先在web.xml中配置<!-- sql注入过滤器 --> <filter> <filter-name>antiSqlInjection</filter-name> <filter-class>com.usermanage.util.AntiSqlInjectionfilter</filter-clas...
php web sql注入,web安全sql注入就是多过滤附PHP过滤函数
weixin_28755847的博客
03-18 285
这篇文章主要介绍了关于web安全sql注入就是多过滤附PHP过滤函数 ,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下SQL注入与跨站攻击过滤函数,支持SQL注入,跨站脚本攻击和跨站POST提交等常见安全过滤。...
php sql语句过滤,php如何做sql过滤
weixin_33304613的博客
03-09 771
php如何做sql过滤SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。因此,在执行sql语句前,一定要对用户输入的数据进行过滤处理。sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。func...
php sql注入参数过滤器,SQL注入过滤器的实现
weixin_36155081的博客
03-26 811
1- 配置web.xml,增加过滤器配置PreventSqlInjectSqlInjectFiltersensitive-wordsselectinsertdeletefromupdatecreatedestorydropalterandorlikeexeccountchrmidmastertruncatechardeclare;'%<>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云博客-资源宝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值