过滤注入代码的存储过程

最新推荐文章于 2023-05-05 11:46:55 发布
最新推荐文章于 2023-05-05 11:46:55 发布
阅读量47 收藏
点赞数

USE [FadmadDB]
GO
/****** 对象:  StoredProcedure [dbo].[p_GetTableSubMemberList]    脚本日期: 06/02/2010 15:58:15 ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO

 

 

/****** Object:  Stored Procedure dbo.sp_BusinessInfo_GetMemberList    Script Date: 2006-3-13 16:03:34 ******/
ALTER  PROCEDURE [dbo].[p_GetTableSubMemberList]
(
 @ColList nvarchar(4000)='', --显示字段
 @Table nVARCHAR(4000)='', --查询的表
 @Where nvarchar(4000)='', --查询条件
 @Sort VARCHAR(255)='',  --排序条件
 @PageSize int=0,   --每页记录数
 @PageIndex int=0,   --当前页码
 @ID VARCHAR(255)='',  --ID字段
 @ID_WithTableName  nVARCHAR(255)='',--带有表名前缀的ID字段名
 @DoCount bit=0 ,   --是否获取记录数
 @TableName nvarchar(4000)='', --待关联的表
 @ConnectList nvarchar(200) -- 待关联的列

)
AS
--if((SELECT PATINDEX('%select%', @Where))>0)
--RETURN
if((SELECT PATINDEX('%UPDATE %', @Where))>0)
RETURN
if((SELECT PATINDEX('% UPDATE %', @Where))>0)
RETURN
if((SELECT PATINDEX('%DELETE%', @Where))>0)
RETURN
if((SELECT PATINDEX('%EXEC %', @Where))>0)
RETURN
if((SELECT PATINDEX('%;%', @Where))>0)
RETURN
if((SELECT PATINDEX('%create %', @Where))>0)
RETURN
if((SELECT PATINDEX('% create %', @Where))>0)
RETURN
if((SELECT PATINDEX('%insert %', @Where))>0)
RETURN
if((SELECT PATINDEX('% insert %', @Where))>0)
RETURN
if((SELECT PATINDEX('%drop %', @Where))>0)
RETURN
if((SELECT PATINDEX('% drop %', @Where))>0)
RETURN
if((SELECT PATINDEX('% alter %', @Where))>0)
RETURN
if((SELECT PATINDEX('%alter %', @Where))>0) 
RETURN
if((SELECT PATINDEX('%xp_%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%chr %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% chr %', @Where))>0)
RETURN 
if((SELECT PATINDEX('%mid %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% mid %', @Where))>0)
RETURN 
if((SELECT PATINDEX('%master %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% master %', @Where))>0)
RETURN 
if((SELECT PATINDEX('%truncate %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% truncate %', @Where))>0)
RETURN 
if((SELECT PATINDEX('%char %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% char %', @Where))>0)
RETURN 
if((SELECT PATINDEX('%ASCII %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% ASCII %', @Where))>0)
RETURN
 
if((SELECT PATINDEX('%cmd %', @Where))>0) 
RETURN
if((SELECT PATINDEX('% cmd %', @Where))>0)
RETURN
if((SELECT PATINDEX('%cmd%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20cmd%20%', @Where))>0)
RETURN


if((SELECT PATINDEX('%UPDATE%20', @Where))>0)
RETURN
if((SELECT PATINDEX('%%20UPDATE%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%EXEC%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%create%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%%20create%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%insert%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%%20insert%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%drop%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%%20drop%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%%20alter%20%', @Where))>0)
RETURN
if((SELECT PATINDEX('%alter%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%xp_%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%chr%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20chr%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%mid%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20mid%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%master%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20master%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%truncate%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20truncate%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%char%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20char%20%', @Where))>0)
RETURN 
if((SELECT PATINDEX('%ASCII%20%', @Where))>0) 
RETURN
if((SELECT PATINDEX('%%20ASCII%20%', @Where))>0)
RETURN 
DECLARE @Sql nVARCHAR(4000)
if(@Where='')
 set @Where='1=1'
if(@DoCount=1)
begin
 if(@ID_WithTableName='' OR @ID_WithTableName IS NULL)
  set @ID_WithTableName=@ID
 
 set @Sql='select count('+@ID_WithTableName+') as countint from '+@Table+' where '+@Where
 
end
else
 Begin
  if @TableName=''
  --SET @Sql='select '+@ColList+'  from '+ @Table +' where  '+@Where
  SET @Sql ='SELECT   TOP '+CAST(@PageSize AS VARCHAR(20))+' '+@ColList+'  FROM '+@Table+'  WHERE '+@Table+'.'+@ID+' NOT IN
(SELECT   TOP '+CAST((@PageSize*(@PageIndex-1)) AS VARCHAR(20))+' '+@ID+' FROM '+@Table+'  WHERE  '+@Where+'   ORDER  BY   '+@Sort+'  ) AND '+@Where+'  ORDER  BY   '+@Sort
  else
  SET @Sql ='SELECT   TOP '+CAST(@PageSize AS VARCHAR(20))+' '+@ColList+'  FROM '+@Table+'   left join '+@TableName+' on '+@TableName+'.'+@ConnectList+' = '+@Table+'.'+@ConnectList+' WHERE '+@Table+'.'+@ID+' NOT IN
(SELECT   TOP '+CAST((@PageSize*(@PageIndex-1)) AS VARCHAR(20))+' '+@ID+' FROM '+@Table+'  WHERE  '+@Where+'  ORDER BY  '+@Sort+' ) AND '+@Where+' ORDER BY  '+@Sort
 End
EXEC(@Sql)
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

weixin_33857679
关注
SQL Server中视图,存储过程注入
12-14
在SQL Server中,视图、存储过程和SQL注入是数据库管理中的重要概念,它们各自扮演着不同的角色,有助于提升数据库的安全性和效率。 一、视图 1. 视图的概念: 视图是从一个或多个表中导出的虚拟表,它不存储实际...
分页存储过程代码
12-15
在给定的存储过程代码中,我们看到了一个用于实现分页查询的示例,该存储过程名为`Page`,主要用于SQL Server数据库系统。以下是关于这个存储过程的详细解释: 1. **参数解析**: - `@currentPage`:当前请求的...
MySQL存储过程
weixin_30437847的博客
04-12 3599
存储过程简介 SQL语句需要先编译然后执行,而存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给定参数(如果该存储过程带有参数)来调用执行它。 存储过程是可编程的函数,在数据库中创建并保存,可以由SQL语句和控制结构组成。当想要在不同的应用程序或平台上执行相同的函数,或者封装特定功能时,存储过程是非常有用的。数...
如何在MS SQL Profiler里面过滤内嵌的存储过程
小肥的专栏
02-09 1078
最近在搞性能优化,由于项目的需要,我们必须尽可能的减少数据库的调用,于是我们做了不少的优化,比如原先需要3个数据库调用的,现在我们把它整合到一个存储过程中,这样只需要一个方法即可。 但这也产生了另外一个问题,之前我们是使用MS SQL Profiler去跟踪数据库的调用的,由于整合了不少存储过程,比如原先需要三个存储过程做三件事,之后我们新增加了一个存储过程,在这个存储过程中调用这三个原有
sql注入详解
热门推荐
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
java 过滤器filter防sql注入的实现代码
09-01
在Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常...同时,对于敏感的操作,应始终使用参数化查询或存储过程,以提供更强大的防御机制。
C#防SQL注入代码的三种方法
12-31
 三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法  C#防SQL...
sqlserver 千万数量级分页存储过程代码
09-11
存储过程`[dbo].[SP_Pagination]`是专为处理大数据量的分页查询而设计的,尤其适用于SQL Server数据库中的千万数量级的数据。它允许用户高效地获取指定页码的数据,同时优化了性能,避免了全表扫描对数据库性能的...
关于Canal的过滤机制
雪落南城的博客
06-17 8158
服务端实例配置 canal.deployer-1.1.1/conf/example/instance.properties canal.instance.filter.regex=.*\\..* 客户端filter connector.subscribe("o2o.pl_repayment_plan_user,o2o.orderdetail,o2o.o2o_third_orderdeta...
5116-微信小程序电影院订票选座系统设计及实现+ssm(源码+数据库+lun文).zip
09-15
本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。
JavaScript 中的 `Array.prototype.filter` 方法全解析
09-15
在 JavaScript 编程中,处理数组是一项基本而重要的任务。数组的过滤操作是其中的一个常见需求,Array.prototype.filter 方法为此提供了强大的支持。本文将深入探讨 Array.prototype.filter 方法的工作原理、使用场景、代码示例以及与其他数组方法的比较。 Array.prototype.filter 是 JavaScript 中处理数组的强大工具,它允许开发者以声明式的方式轻松筛选出符合特定条件的元素。通过结合使用 Array.prototype.filter 和其他数组方法,可以解决各种复杂的数据筛选问题。 通过本文的详细介绍和示例代码,你应该能够掌握 Array.prototype.filter 的工作原理,并能够在实际开发中灵活运用它来处理数组数据。此外,了解其与 Array.prototype.map 和 Array.prototype.reduce 的结合使用,可以帮助你更好地编写高效且易于维护的代码
5108-微信小程序的书橱+ssm(源码+数据库+lun文).zip
09-15
本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。
5046-微信小程序校园二手交易平台的小程序+ssm(源码+数据库+lun文).zip
09-15
本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。
SMT小型视觉贴片机控制系统源码源代码图纸 DI
最新发布
09-15
SMT小型视觉贴片机控制系统源码源代码图纸 DI
ASP调用SQL存储过程提升效率与安全
2. **安全性增强**:将SQL语句放入存储过程,可以限制用户对数据库的直接访问,减少因SQL注入等安全问题带来的风险。通过设置权限,可以控制哪些用户可以调用特定的存储过程。 3. **代码复用**:存储过程可以被多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值