防止数据库注入的一点小总结

XSS与SQL注入防护
最新推荐文章于 2025-10-25 20:54:30 发布
最新推荐文章于 2025-10-25 20:54:30 发布
阅读量114 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 java javascript ViewUI
原文链接:http://www.cnblogs.com/bobofsj11/archive/2009/01/20/1378886.html
本文介绍了如何通过代码实现XSS跨站脚本攻击及SQL注入攻击的防范措施,包括了对用户输入进行过滤和检查的方法。

1.数据库用户不能用sa  新建一个用户单独操作使用的数据库

2取消 Sysobjects  columns 表的select权限

3网站代码过滤

4POST GET url过滤

 

ContractedBlock.gifExpandedBlockStart.gifCode
/// <summary>    
    /// 过滤xss攻击脚本   
    /// </summary>    
    /// <param name="input">传入字符串</param>    
    /// <returns>过滤后的字符串</returns>    
    public static string FilterXSS(string html)
    {
        if (string.IsNullOrEmpty(html)) return string.Empty;
        // CR(0a) ,LF(0b) ,TAB(9) 除外,过滤掉所有的不打印出来字符.     
        // 目的防止这样形式的入侵<java\0script>   
        // 注意:\n, \r,  \t 可能需要单独处理,因为可能会要用到   
        string ret = System.Text.RegularExpressions.Regex.Replace(html, "([\x00-\x08][\x0b-\x0c][\x0e-\x20])"string.Empty);
        //替换所有可能的进制构建的恶意代码   
        //<IMG SRC=@avascript:a&_#X6Cert('XSS')>    
        string chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890!@#$%^&*()~`;:?+/={}[]-_|'\"\\";
        for (int i = 0; i < chars.Length; i++)
        {
            ret = System.Text.RegularExpressions.Regex.Replace(ret, string.Concat("([x|X]0{0,}", Convert.ToString((int)chars[i], 16).ToLower(), ";?)"), chars[i].ToString(), System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        }
        //过滤\t, \n, \r构建的恶意代码  
        string[] keywords = {"javascript""vbscript",
"expression""applet""meta""xml""blink""link""style"
"script""embed""object""iframe""frame""frameset""ilayer"
"layer""bgsound""title""base","onabort""onactivate""onafterprint""onafterupdate"
"onbeforeactivate""onbeforecopy""onbeforecut"
"onbeforedeactivate""onbeforeeditfocus""onbeforepaste"
"onbeforeprint""onbeforeunload""onbeforeupdate""onblur"
"onbounce""oncellchange""onchange""onclick""oncontextmenu"
"oncontrolselect""oncopy""oncut""ondataavailable"
"ondatasetchanged""ondatasetcomplete""ondblclick""ondeactivate"
"ondrag""ondragend""ondragenter""ondragleave""ondragover"
"ondragstart""ondrop""onerror""onerrorupdate""onfilterchange"
"onfinish""onfocus""onfocusin""onfocusout""onhelp"
"onkeydown""onkeypress""onkeyup""onlayoutcomplete""onload"
"onlosecapture""onmousedown""onmouseenter""onmouseleave"
"onmousemove""onmouseout""onmouseover""onmouseup"
"onmousewheel""onmove""onmoveend""onmovestart""onpaste"
"onpropertychange""onreadystatechange""onreset""onresize"
"onresizeend""onresizestart""onrowenter""onrowexit"
"onrowsdelete""onrowsinserted""onscroll""onselect"
"onselectionchange""onselectstart""onstart""onstop""onsubmit"
"onunload"};
        bool found = true;
        while (found)
        {
            string retBefore = ret;
            for (int i = 0; i < keywords.Length; i++)
            {
                string pattern = "/";
                for (int j = 0; j < keywords[i].Length; j++)
                {
                    if (j > 0)
                        pattern = string.Concat(pattern, '('"([x|X]0{0,8}([9][a][b]);?)?""|({0,8}([9][10][13]);?)?"")?");
                    pattern = string.Concat(pattern, keywords[i][j]);
                }
                string replacement = string.Concat(keywords
[i].Substring(02), "<x>", keywords[i].Substring(2));
                ret = System.Text.RegularExpressions.Regex.Replace(ret, pattern, replacement, System.Text.RegularExpressions.RegexOptions.IgnoreCase);
                if (ret == retBefore)
                    found = false;
            }
        }
    }

 

 

ContractedBlock.gifExpandedBlockStart.gifCode
// JScript 文件
 
var str= location.search; 
var gs="select|update|insert|drop|from|truncate|xp_|exec|xp_cmdshell|delete|administrators|xp_cmdshell|asc|mid|exec|count|'|>|<|--";
var list=new Array()
var flag=true;
list=gs.split('|');
for(var i=0;i<list.length;i++)
{
    var s=list[i];
    if(str.indexOf(s)>-1)
    {
        alert("地址中含有非法字符~"+s);
             location.href="/error.aspx";
             break;
    } 

 

Global.asax

 

ContractedBlock.gifExpandedBlockStart.gifCode
  protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        //遍历Post参数,隐藏域除外
        foreach (string i in this.Request.Form)
        {
            if (i == "__VIEWSTATE"continue;
            this.goErr(this.Request.Form[i].ToString());
        }
        //遍历Get参数。
        foreach (string i in this.Request.QueryString)
        {
            this.goErr(this.Request.QueryString[i].ToString());
        }
    }

    private void goErr(string tm)
    {
        if (SqlFilter2(tm))
            this.Response.Redirect("~/index.aspx");
    }

    public static bool SqlFilter2(string InText)
    {
        string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
        if (InText == null)
            return false;
        foreach (string i in word.Split('|'))
        {
            if ((InText.ToLower().IndexOf(i + " "> -1|| (InText.ToLower().IndexOf(" " + i) > -1))
            {
                return true;
            }
        }
        return false;
    }

转载于:https://www.cnblogs.com/bobofsj11/archive/2009/01/20/1378886.html

HTML5从入门到精通笔记
斗师——Ace
03-20 2550
添加小程序,兑换各种视频教程/数据资源。 第一章:HTML5新增语法,元素,属性,事件 1.html5语法: 1.1 html是区分大小写,也区分大双引号。 1.2 对于具有boolean值得属性,如disabled和readonly等,当值写属性写值,将属性值设置为属性名或设置为空字符串时,表示为true,如<input disabled /&...
java防止sql注入方正_有效防止SQL注入的5种方法总结
weixin_39517357的博客
02-27 1229
sql注入入门SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。演示下经典的SQL注入我们看到:select id,no from user where id=2;如果该语句是通过sql字符串拼接得到的,比如: String sql...
两段简单的JS代码防止SQL注入
echocdzh的博客
12-14 1032
1.URL地址防注入:     //过滤URL非法SQL字符     var sUrl=location.search.toLowerCase();     var sQuery=sUrl.substring(sUrl.indexOf("=")+1);     re=/select|update|delete|truncate|join|union|exec|insert|drop|cou
解决保存标签到数据库转义成gt和lt等情况
c237113730的博客
12-22 5052
调用StringEscapeUtils.unescapeHtml4(String s) 即可.
asp.net防止XSS(脚本)攻击
lbx541575387的专栏
09-14 4387
///         /// 过滤xss攻击脚本        ///         /// 传入字符串       /// 过滤后的字符串        public string FilterXSS(string html)       {            if (
sql注入详解
热门推荐
渗透之路,攻防之间皆学问
05-05 25万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 1万+
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
SQL注入总结
qq_46081990的博客
04-22 4862
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析和执行。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
使用Python防止SQL注入攻击的实现示例
09-16
本文详细介绍了如何使用Python防止SQL注入攻击的方法,包括如何设置数据库环境、如何构造安全的参数化查询等。通过实际的代码示例,读者可以更加直观地理解如何在实际开发中应用这些技巧,以增强应用的安全性。在...
PHP中怎样防止SQL注入分析
10-25
在当下互联网应用中,SQL注入攻击是一种常见的安全威胁,尤其对于使用SQL数据库的Web应用来说,这是一种容忽视的安全隐患。本文主要针对PHP语言环境下,如何防范SQL注入攻击提供深入分析及解决方法。 首先需要...
防止sql注入
11-30
### 防止SQL注入:理解与实践 在软件开发过程中,安全性是至关重要的一个方面。其中,SQL注入攻击是一种常见的安全威胁,它利用应用程序对用户输入数据验证足的漏洞,将恶意SQL命令插入到查询语句中执行,从而...
数据库权限管理对防止SQL注入的重要性
当应用程序未对用户输入进行充分的验证和过滤时,攻击者可以利用这一点将恶意的SQL代码注入到应用程序中。当应用程序将注入的代码作为SQL查询的一部分执行时,攻击者可以通过改变原本意图的查询语句来获取敏感信息、...
数据库学习】关系数据库总结
午后阳光
10-30 2万+
是用于描述数据库中要存储的现实世界实体的语言。一个数据库模式包含该数据库中所有实体的描述定义。这些定义包括结构定义、操作方法定义等。属性的范围约束;唯一性约束;
涵盖网站基本使用的正则表达式的验证方法.cs
02-11 276
using System; using System.Text.RegularExpressions; using System.Text; using System.IO; using System.Security.Cryptography; namespace Chen.Common { /// <summary> /// 数组拓展...
高并发webserver_interview
2301_77209356的博客
10-21 1085
这是因为在并发场景下,更新缓存的时序难以保证,极易导致Redis与MySQL数据永久一致。而删除缓存是一种‘惰性失效’策略,虽然会引发一次缓存穿透,但能确保下一个读请求一定会从数据库加载到最准确的数据,从而简单有力地保证了数据的最终一致性。相比之下,用 MySQL 或其他数据结构来实现,要么性能瓶颈明显,要么实现复杂度太高。file_url:类似192.168.1.2:80/group1/M00/00/00/xxx.png。file_id:⽂件id 类似group1/M00/00/00/xxx.png。
Java事故排查
最新发布
sinat_28694519的博客
10-25 731
作为一名软件开发人员,经常会遇到各种各样的事故,一般凭借日志就可以定位到异常问题,然后修复测试,即可验证是否解决,这种较为简单的问题。复杂一点的是,长时间运行出现的问题,比如运行几天之后,程序发生异常,这种是部署上线后立即发现的,很难排查,但是一般也可以归结为并发性能异常、内存漏洞之类异常。这种情况,日志比较少,需要dump程序的信息,进行分析,以内存泄露为例来说,需要定位到程序中的大对象,然后查看相关代码定位。
记录一次线上oom问题排查
北冥的博客
10-21 1526
截图显示的内存使用情况表明,存在大量的。
C#实现防止SQL注入式攻击的方法及实例
因此,采取措施防止SQL注入是任何涉及数据库操作的应用程序开发过程中的重要环节。 描述中提到的内容是对SQL注入攻击以及如何防御它的一个简明扼要的介绍。SQL注入攻击能够成功的原因,在于用户输入没有得到适当的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值