like模糊查询%注入问题

最新推荐文章于 2023-03-02 18:33:06 发布
最新推荐文章于 2023-03-02 18:33:06 发布
阅读量662 收藏
点赞数
原文链接:http://www.cnblogs.com/mingfeng002/p/10078876.html
版权

android like 全局模糊查找文件命名 通过条件通过 like %search%

如果查找的关键字是% 那么就成了 like %%% 就会查找出所有的文件

解决办法是先把正则里面的匹配符 替换成转义字符

    private static String sqliteEscape(String keyWord) {
        keyWord = keyWord.replace("/", "//");
        keyWord = keyWord.replace("'", "''");
        keyWord = keyWord.replace("[", "/[");
        keyWord = keyWord.replace("]", "/]");
        keyWord = keyWord.replace("%", "/%");
        keyWord = keyWord.replace("&", "/&");
        keyWord = keyWord.replace("_", "/_");
        keyWord = keyWord.replace("(", "/(");
        keyWord = keyWord.replace(")", "/)");
        return keyWord;
    }

这个时候 还需要 告诉sql语句那个字符是转义的 需用到 escape "/"替换转义字符

    public static void fileSearch(Context context, String inputString) {
        String searchTxt = sqliteEscape(inputString);
        ContentResolver contentResolver = context.getContentResolver();
        String[] projection = {MediaStore.Files.FileColumns._ID, MediaStore.Files.FileColumns.DATA,
                MediaStore.Files.FileColumns.DATE_MODIFIED,
                MediaStore.Files.FileColumns.SIZE, MediaStore.Files.FileColumns.TITLE,
                MediaStore.Files.FileColumns.MIME_TYPE};
        String selection = MediaStore.Files.FileColumns.TITLE + " LIKE ? escape '/' ";
        String searchStr = "%"+searchTxt+"%";
        String[] selectionArgs = new String[]{searchStr};
        Cursor cursor = null;
        try {
            cursor = contentResolver.query(MediaStore.Files.getContentUri("external"), projection, selection, selectionArgs, MediaStore.Files.FileColumns.DATE_MODIFIED + " desc");
            if (cursor != null) {
                int fileId;
                String filePath;
                File file;
                long size;
                long modifiedTime;
                while (cursor.moveToNext()) {
                    //....
                }
            }
        } catch (Exception e) {
            if (DEBUG) {
                Log.e(TAG, "", e);
            }
        } finally {
            try {
                if (cursor != null) {
                    cursor.close();
                }
            } catch (Exception e) {
                if (DEBUG) {
                    Log.e(TAG, "", e);
                }
            }
        }
    }

转载于:https://www.cnblogs.com/mingfeng002/p/10078876.html

weixin_30472035
关注
在Like语句中的注入是指在使用Like语句进行模糊匹配时,由于未正确处理用户输入
BLOG域名:programb.blog.csdn.net
07-26 1204
在Like语句中,如果没有对用户输入进行适当的过滤和转义,攻击者可以通过在输入中插入特殊字符来改变查询的逻辑,从而绕过预期的过滤条件。在Like语句中的注入是指在使用Like语句进行模糊匹配时,由于未正确处理用户输入,导致恶意用户可以通过构造特定的输入来执行恶意操作或者获取敏感信息的一种安全漏洞。SQL 注入是一种攻击手段,攻击者通过在输入字段中插入或 “注入” 恶意的 SQL 代码,从而绕过应用程序的安全措施,执行非预期的 SQL 语句。语句时,如果不进行适当的处理,就可能会面临 SQL 注入的风险。
mysql中like语句注入_like查询中的SQL注入
weixin_39643865的博客
01-19 4062
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
mysql中like语句注入,通过LIKE运算符进行MySQL注入
weixin_42176612的博客
01-19 560
I've below code in one of my php files to fetch data from DB:$products = $this->db->get_rows('SELECT * from products WHERE shop_id='.$_SESSION['shop_id'].'AND tags,title,text LIKE \'%'.$_POST['s...
Oracle模糊查询输入_和%查出所有问题的解决
Little_Arya的博客
10-21 2083
问题描述: 因为模糊查询的时候我使用的是LIKE方法,所以当输入框输入% 、_ 时就会查询出所有数据。这里主要是因为“%”、“_””单独出现时,会被认为是通配符,因此使用LIKE方法的时候需要转义。 解决方案: 1)使用instr(),这是ORACLE内建的函数,是经过相当程度的优化的,使用这个方法可以解决上述问题。 MySQL: select * from test where name like ‘%helloworld%’; Oracle:select * from test where ins
Mybatis模糊查询中查%或者_为全部数据问题
最新发布
qq_43803266的博客
03-02 1446
Mybatis模糊查询中查%或者_为全部数据问题
Mysql模糊查询 like
qq_42684157的博客
11-18 387
在 MySQL 中,LIKE关键字主要用于搜索匹配字段中的指定内容。其语法格式如下: [NOT] LIKE '字符串' 其中: NOT :可选参数,字段中的内容与指定的字符串不匹配时满足条件。 字符串:指定用来匹配的字符串。“字符串”可以是一个很完整的字符串,也可以包含通配符。 LIKE 关键字支持百分号“%”和下划线“_”通配符。 通配符是一种特殊语句,主要用来模糊查询。当不知道真正字符或者懒得输入完整名称时,可以使用通配符来代替一个或多个真正的字符。 带有“%”通配符的查询 “...
oracle like模糊查询
weixin_34259159的博客
01-05 1994
  一、简单的方式 最常用,最简单的方式是使用“%” 和 “_”。 字符匹配操作可以使用通配符 “%” 和 “_”: %:表示任意个字符,包括零个; _:表示一个任意字符; escape关键字实现like匹配特殊字符,以及&字符的转义。     例如: SQL> select * from dept;  DEPTNO DNAME          LOC   ...
python中数据库like模糊查询方式
09-17
在这里,我们将深入探讨如何在Python中使用`LIKE`进行数据库的模糊查询。 首先,让我们明确`LIKE`操作符的基本用法。`LIKE`允许我们使用百分号(%)作为通配符,其中 `%` 可以代表任意数量的字符,包括零个字符。...
Laravel使用模型实现like模糊查询的例子
10-16
// 使用like模糊查询 $posts = Post::where('title', 'like', '%' . $searchTerm . '%') ->orWhere('content', 'like', '%' . $searchTerm . '%') ->get() ->toArray(); return $posts; } ``` 在上面的代码...
thinkphp实现like模糊查询实例
10-25
本篇文章旨在通过具体实例,介绍ThinkPHP中实现like模糊查询的两种主要方式:字符串形式和数组形式。 一、使用字符串作为查询条件 在ThinkPHP框架中,可以非常直接地使用字符串拼接的形式来进行模糊查询。这种方式...
likesearch:使用喜欢进行搜索
05-09
喜欢搜寻 这将使用Mysql LIKE %query%搜索您的Flarum。 当您运行不能使用MATCH搜索数据库的Flarum语言为中文或日语时,这将非常有用。
利用MyBatis进行不同条件的like模糊查询的方法
08-27
在MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
SQL Server中LIKE %search_string% 走索引查找(Index Seek)浅析
weixin_34175509的博客
10-17 339
  在SQL Server的SQL优化过程中,如果遇到WHERE条件中包含LIKE '%search_string%'是一件非常头痛的事情。这种情况下,一般要修改业务逻辑或改写SQL才能解决SQL执行计划走索引扫描或全表扫描的问题。最近在优化SQL语句的时候,遇到了一个很有意思的问题。某些使用LIKE '%' + @search_string + '%'(或者 LIKE @search_strin...
REGEXP注入与LIKE注入学习笔记
qwzf
08-08 3708
首发于先知社区 0x00 前言 之前已经学过SQL盲注了,也见过盲注中REGEXP注入,但没详细了解过。正好这次BJD遇到了这个,简单总结,并把题目复现一下。 0x01 注入原理 REGEXP注入,即regexp正则表达式注入。REGEXP注入,又叫盲注值正则表达式攻击。 应用场景就是盲注,原理是直接查询自己需要的数据,然后通过正则表达式进行匹配。 0x02 REGEXP注入分析 1、基本注入 select (s...
mysql教程 like_mysql中like % %模糊查询的实现
weixin_42517623的博客
02-02 274
1,%:表示任意0个或多个字符。可匹配任意类型和长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。比如SELECT * FROM [user] WHERE u_name LIKE '%三%'将会把u_name为“张三”,“张猫三”、“三脚猫”,“唐三藏”等等有“三”的记录全找出来。另外,如果需要找出u_name中既有“三”又有“猫”的记录,请使用and条件SELECT * FROM [...
mysql rlike concat_时间盲注子查询与rlike
weixin_29611737的博客
02-07 1470
sql注入首先尝试单引号;当单引号不报错的时候,尝试宽字节注入%df'(--tamper=unmagicquotes)1、时间盲注子查询(SELECT(SLEEP(5)))jHpaPayload: id=1 AND 4301=BENCHMARK(5000000,MD5(0x67426a42))2、rlike报错当使用正则匹配时,使用REGEXP和NOTREGEXP操作符(或RLIKE和NOTR...
记一次使用sqlmap对oracle进行like注入
weixin_45439432的博客
12-17 3933
环境:jsp+oracle 从FUZZ的结果以及http响应的长度来看,普通的注入被waf拦截,存在like注入 like注入其实也并不是两边都要有 %,我们只需要闭合单引号就行了: 接下来用sysdata参数可以确定数据库为oracle。 sysdata函数为oracle数据库的日期,length求的是字符长度,可构造语句: 1’ AND LENGTH(SYSDATE) LIKE LENGTH(SYSDATE) AND ‘NGjD’ LIKE 'NGjD 现在可以确定存在注入了,于是移步到工具使用环
MySQL中另类输入是什么_mysql 过滤like时的另类盲注方法
weixin_33603331的博客
01-28 157
0x00 概要日站过程中有过滤是很正常的事情.本方法适用于 过滤了 like, %, if, CASE也就是 like 注入无法正常使用,但是页面又没有回显的情况like 替换方法locatepositioninstr0x01 locate, position, instr 函数注入时会遇到的问题虽然说是替代但是其实没有那么的好用,因为他们都是左右匹配的QAQ这会导致匹配类似 a1b2a1a2 这...
SQL保留字符的处理(like,%,_)
@甘道夫@的专栏
10-23 3160
SQL有两个与LIKE相关的保留字符: % 通配符,表示一个或多个任意字符 _ 通配符,标识一个任意字符
ASP中SQL模糊查询LIKE通配符问题解析
- 在编写程序时,建议使用参数化查询或存储过程,以避免SQL注入等安全问题,并提高代码可读性和维护性。 总结,理解和正确使用SQL查询中的通配符是数据库操作的关键,特别是在涉及到模糊匹配和跨平台开发时。对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值