记录:检测是否有Sql危险字符

最新推荐文章于 2024-01-30 17:10:30 发布
最新推荐文章于 2024-01-30 17:10:30 发布
阅读量698 收藏
点赞数
分类专栏: .net 文章标签: c# sql 过滤 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013608482/article/details/88398125
版权 
/// <summary>
        /// 检测是否有Sql危险字符
        /// </summary>
        /// <param name="str">要判断字符串</param>
        /// <returns>判断结果</returns>
        public static bool IsSafeSqlString(string str)
        {
            //return !Regex.IsMatch(str, @"[-|;|,|\/|\(|\)|\[|\]|\}|\{|%|@|\*|!|\']");
            var returnValue = true;
            try
            {
                if (str.Trim() != "")
                {
                    var sqlStr = "exec|insert+|select+|delete|update|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|create|*|iframe|script|";
                    sqlStr += "exec+|insert|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+table|creat+table";
                    var anySqlStr = sqlStr.Split('|');
                    var anySqlStrList = new List<string>();
                    anySqlStrList.AddRange(anySqlStr);
                    if (anySqlStrList.Contains(str.ToLower()))
                    {
                        returnValue = false;
                    }
                }
            }
            catch
            {
                returnValue = false;
            }
            return returnValue;
        }

        /// <summary>
        /// 检查危险字符
        /// </summary>
        /// <param name="sInput"></param>
        /// <returns></returns>
        public static string Filter(string sInput)
        {
            if (string.IsNullOrEmpty(sInput))
                return null;
            string sInput1 = sInput.ToLower();
            string output = sInput;
            string pattern = @"*|and|exec|insert|select|delete|update|count|master|truncate|declare|char(|mid(|chr(|'";
            if (Regex.Match(sInput1, Regex.Escape(pattern), RegexOptions.Compiled | RegexOptions.IgnoreCase).Success)
            {
                throw new Exception("字符串中含有非法字符!");
            }
            else
            {
                output = output.Replace("'", "''");
            }
            return output;
        }

        /// <summary> 
        /// 检查过滤设定的危险字符
        /// </summary>
        /// <param name="word"></param>
        /// <param name="inText">要过滤的字符串 </param> 
        /// <returns>如果参数存在不安全字符,则返回true </returns> 
        public static bool SqlFilter(string word, string inText)
        {
            if (inText == null)
                return false;
            foreach (string i in word.Split('|'))
            {
                if ((inText.ToLower().IndexOf(i + " ", StringComparison.Ordinal) > -1) || (inText.ToLower().IndexOf(" " + i, StringComparison.Ordinal) > -1))
                {
                    return true;
                }
            }
            return false;
        }

 

一只小迷糊虫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#检测是否危险字符SQL字符过滤方法
09-04
主要介绍了C#检测是否危险字符SQL字符过滤方法,功能非常实用,对于程序设计的安全来说至关重要!需要的朋友可以参考下
检测是否Sql危险字符
热门推荐
希望能找到你的答案
03-05 12万+
#region IsSafeSqlString 检测是否Sql危险字符 /// &lt;summary&gt; /// 检测是否Sql危险字符 /// &lt;/summary&gt; /// &lt;param name="targetString"&gt;目标字符串&lt;/param&gt; ...
测试 SQL危险 | 切勿掉以轻心
Navicat 官方账号
07-19 232
千万不要因为你“理解”你的代码就认为不会发生坏事。这个想法是疯狂的。你可能会暂时摆脱不好的事,甚至是好一阵子。尽管如此,总有一天事情会变坏。当真的发生了,就会变得非常糟糕。.........
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
02-16
链接sql 数据库 过滤危险字符串,,mssql ,注入防御
同事都说有SQL注入风险,我非说没有
dotNET跨平台
03-16 496
前言现在的项目,在操作数据库的时候,我都喜欢用ORM框架,其中EF是一直以来用的比较多的;EF 的封装的确让小伙伴一心注重业务逻辑就行了,不用过多的关注操作数据库的具体细节。但是在某些场景...
JavaScript过滤SQL注入字符
08-05
对于SQL查询,我们可以移除或转义可能的危险字符。以下是一个简单的例子: ```javascript function escapeSql(input) { return input.replace(/[\x00-\x1f]/g, "") // 去除控制字符 .replace(/[-'\"]/g, "\\$&") ...
SQL Server下几个危险的扩展存储过程
09-14
2. **xp_dirtree** 和 **xp_fileexist**:这两个过程允许查询文件系统,如列出目录结构和检查文件是否存在。这可以帮助攻击者了解服务器的文件系统布局,为进一步的攻击做准备。 3. **sp_oacreate** 和 **sp_...
第17天:WEB漏洞-SQL注入之二次,加解密,DNS等注入1
08-03
在网络安全领域,Web漏洞是常见的安全威胁之一,SQL注入是一种尤为危险的攻击方式。本文将深入探讨二次注入、加解密技术以及DNSlog注入的概念、原理,并通过具体案例和实际应用来阐述这些技术如何被利用。 **SQL...
SQL注入字符转换器sqlencode
01-21
使用"sqlencode"这样的工具时,开发者可以输入包含潜在危险字符字符串,工具会自动将其转换为安全的编码形式。这在处理用户输入数据时非常有用,因为用户可能会有意或无意地输入可能导致SQL注入的特殊字符。 预防...
SQL注入攻击及其解决方案--替换特殊字符.rar
09-02
过滤则是移除或替换掉危险字符,例如将单引号替换为空格或无效字符。 然而,仅仅替换特殊字符并不足以完全防止SQL注入。更全面的解决方案包括: 1. **预编译语句(参数化查询)**:使用预编译的SQL语句,如Java中...
报表检测sql 植入风险怎么解决
chaochao52001的博客
06-03 140
Select … from T where ${w} 正常使用下 w 可以 “status=1”、“1=1”等灵活的条件,但同时存在很大的安全隐患。 比如 w 为“1=0 UNION select … from user”时,user 表数据就完全泄露了。 解决这个问题大概两种方式: 1、 写成很牛 X 的 sql,考虑到最坏情况下,攻击者依然无法攻击。 2、 对参数值过滤,判断有风险的处理掉,甚至直接不让报表继续执行。 第 1 种方式太难了,并且也会把 sql 搞的特别复杂,在报表工具的 sq
asp.net 2005 替换SQL危险字符
dreamw的专栏
05-31 1257
  修改前辈的东西,见笑      public string replaceStr(string inputString)    {                 string replaceIn = "|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or
SQL注入漏洞-SQL注入
HacHunter的博客
03-05 518
先来讨论下SQL注入的定义,其实目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述: 脚本注入式的攻击 恶意用户输入用来影响被执行的SQL脚本 SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,实质就是将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可.
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 1101
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
signature=dfd81726fd57854ca7bad9a44c3877c7,ionic-framework/CHANGELOG.md at fff82d0bdcd850e7c70947b39...
weixin_33237865的博客
05-29 9091
5.4.0-rc.1 (2020-10-08)This version is dedicated to our upcoming Ionic Vue release.Bug Fixesvue: correctly handle query params (#22253) (6849dd3), closes #22229vue: correctly show ion-back-button when...
检验危险字符串 防止SQL注入
享耳三羊
11-12 3704
#region 检查危险字符         ///         /// 检查危险字符         ///         ///         ///         public static string Filter(string sInput)         {             if (sInput == null || sInput == "
SQL 注入:漏洞的检测与防御
最新发布
我乐了的博客
01-30 1018
当用户输入恶意构造的 and 语句时,不做编译处理,按原语句模板将输入值带入到对应的占位符中,此处即 id 参数,也就是说 1 and 1=1 仅为参数值带入,不作为 SQL 语句编译,那么 and 语句就不会被执行,从而防止 SQL 注入。RASP 不用考虑网络求中的各种复杂的数据处理过程,只需要在对应的漏洞触发函数进行 Hook 插桩检测等操作,同时 RASP 能够给出漏洞触发的程序上下文,帮助开发人员和安全人员快速定位漏洞代码,并实现漏洞的检测、告警和阻断。但它也不是无懈可击的,难免会被绕过。
SQL注入风险高,手写 SQL 须谨慎
古时的风筝
01-07 2048
SQL注入风险高,手写 SQL 须谨慎。
SQL注入攻击分析:针对Web的Access数据库漏洞
SQL注入攻击的危险性在于,攻击者可以利用未过滤的用户输入构造恶意SQL语句,获取敏感数据,如用户密码、个人信息,甚至篡改或删除数据库中的信息。由于这种攻击通常看起来像是合法的HTTP求,防火墙往往无法检测到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值