实用技巧——检测字符串在SQL中是否危险

最新推荐文章于 2023-10-11 14:08:02 发布
最新推荐文章于 2023-10-11 14:08:02 发布
阅读量128 收藏
点赞数
原文链接:http://www.cnblogs.com/RoyMing/archive/2010/07/06/1772059.html
版权 
      /// <summary>
        /// 检测字符串中是否有SQL攻击代码
        /// </summary>
        /// <param name="sqlString">待检测的字符串</param>
        /// <returns>True:不危险,False:危险</returns>
        public static bool IsSecurity(string sqlString)
        {
            if (string.IsNullOrWhiteSpace(sqlString))
                return false;
            string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";
            string str_Regex = @"\b(" + SqlStr + @")\b";

            Regex regex = new Regex(str_Regex, RegexOptions.IgnoreCase);
            if (regex.IsMatch(sqlString))
                return false;
            return true;
        }

        /// <summary>
        /// 过滤危险SQL字符
        /// </summary>
        public static string FilterString(string sqlString)
        {
            string SqlStr = @"and|or|exec|execute|insert|select|delete|update|alter|create|drop|count|\*|chr|char|asc|mid|substring|master|truncate|declare|xp_cmdshell|restore|backup|net +user|net +localgroup +administrators";
            if (string.IsNullOrWhiteSpace(sqlString))
                return sqlString;

            string str_Regex = @"\b(" + SqlStr + @")\b";

            //替换危险字符串
            sqlString = Regex.Replace(sqlString, str_Regex, "", RegexOptions.IgnoreCase);
            return sqlString;
        }
    }

转载于:https://www.cnblogs.com/RoyMing/archive/2010/07/06/1772059.html

weixin_33889245
关注
【ChatGPT】实用 Prompt 指令大全 —— 一文教你如何更好地挖掘 GPT 的价值
程序员光剑
04-15 2万+
ChatGPT 是由 OpenAI 开发的一种先进的大型语言生成模型,能够理解和生成准确、自然且连贯的文本。文本生成数据分析内容审核语义理解自然语言推理以及其他众多任务ChatGPT是一种基于GPT-3.5架构的大型语言模型,由OpenAI公司开发。该模型在自然语言处理领域有着广泛的应用,可以用于文本生成、文本分类、情感分析、问答系统等任务。本文将从模型的架构、训练方式、优缺点等方面对ChatGPT进行详细介绍。一、模型架构。
sql注入知识点
m0_55772907的博客
04-27 3681
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
SQL字符串包含字符的判断方法
12-16
sql我判断包含字符串我们可使用很多方法,如like,replace,charindex函数都可实现我们要的功能,下面我来给各位介绍判断字符串包含字符串sql语句。 通过2个函数CHARINDEX和PATINDEX以及通配符的灵活使用 函数:CHARINDEX和PATINDEX CHARINDEX:查某字符(串)是否包含在其他字符串,返回字符串指定表达式的起始位置。 PATINDEX:查某字符(串)是否包含在其他字符串,返回指定表达式某模式第一次出现的起始位置;如果在全部有效的文本和字符数据类型没有找到该模式,则返回零。特殊:可以使用通配符! 例子: 1. 查询字符串是否包含非
SQL语句因编写不当可能导致系统不安全
zgqtxwd的专栏
05-01 369
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
防范sql注入式攻击(Java字符串校验,高可用性)
红目香薰
01-03 6799
什么是SQL注入攻击? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. SQL注入攻击指的
【网络安全】「漏洞原理」(一)SQL 注入漏洞之概念介绍
最新发布
顶峰
10-11 949
SQL注入
sql注入攻击的原理以及防范措施
V13807970340的博客
03-28 1034
主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序事先定义好的 SQL 语句添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。简而言之,SQL 注入就是在用户输入的字符串加入 SQL 语句,如果在设计不良的程序忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。
【网络安全】:Java字符串处理在安全的应用案例分析
在Java编程语言字符串(String)是处理文本的核心数据类型。随着应用的复杂性增加,字符串处理的能力和效率直接影响软件的性能与安全性。在实际开发过程,熟练掌握字符串操作是每一位Java开发者的基本功。 ##...
ChatGPT 文调教指南。各种场景使用指南。学习怎么让它听你的话
热门推荐
zhongsir845的博客
03-16 2万+
ChatGPT是由训练的一款大型语言模型,能够生成类人文本。您只需要给出提示或提出问题,它就可以生成你想要的东西。在此页面,您将找到可与 ChatGPT 一起使用的各种提示。
Hibernate查询性能优化技巧
逍遥飞鹤的专栏
07-23 1万+
数据库查询性能的提升也是涉及到开发的各个阶段,在开发选用正确的查询方法无疑是最基础也最简单的。 SQL语句的优化        使用正确的SQL语句可以在很大程度上提高系统的查询性能。获得同样数据而采用不同方式的SQL语句在性能上的差距可能是十分巨大的。        由于Hibernate是对JDBC的封装,SQL语句的产生都是动态由Hibernate自动完成的。Hib
SQLsql注入风险修复方法
qq_34335450的博客
06-13 3463
一、MyBaties#{}和${}的区别 '#'相当于对数据 加上 双引号,$相当于直接显示数据。 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举例: select * from table_A where name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from table_A where name = ? 而使用${}在动态解析时候,会传入参数字符串
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 6136
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞的演示过程。
JAVA关于SQL注入的安全性问题解决办法
醉梦洛的博客
07-17 5964
由于项目在上生产前,有一个安全性代码检测问题,首先检测出来的就是SQL注入问题,就是在写sql语句时,将参数用字符串的形式直接写在sql,这样会造成安全性问题。 图示是SQL注入检测报告: 以下是分析: 1.通过用户输入构造一个动态 SQL 指令,攻击者就能够修改指令的含义或者执行任意的 SQL 命令。 2.SQL injection 错误在以下情况下出现: ①.数据从...
C#检测是否危险字符的SQL字符串过滤方法
慢谈人生
02-13 734
C#检测是否危险字符的SQL字符串过滤方法,避免SQL注入漏洞的发生。
sql验证特殊字符处理防止注入
路人甲的博客
08-10 2044
sql注入 最好的方式是使用? 占位符 如果需要拼接参数的sql,需要验证特殊字符处理,防止注入 static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|" + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
sql if 语句_PHP安全SQL注入漏洞防护
weixin_39774556的博客
11-26 263
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-networkSQL注入是最危险的漏洞之一,但也是最好防护的漏洞之一。本文介绍在PHP的编码合理地使用MySQL提供的预编译进行SQL注入防护,在PHP使用PHP数据对象扩...
危险SQL
weixin_30622181的博客
03-10 215
看下这个 SQL , 有什么问题 ? <update id="update" parameterType="CreativeGroupDO"> update dsp_creative_group set gmt_modified = now() <if test="title != null"> ...
MSSQL: sql危险存储过程
叶现一的专栏
08-19 1243
如果不删除sql危险存储?如果不删除sql危险存储,可以按下面的方法执行系统命令sql server 2005下开启xp_cmdshell的办法EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;SQL2005开启OPENROWSET支
防止sql注入:替换危险字符
weixin_33759269的博客
04-26 561
在用户名或者密码框输入“11‘ or ’1‘ = '1”时,生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”;该语句永远为真。为了防止sql语句的注入,提高程序的安全性。需要替换危险字符。 Java代码段: public class Ch...
Delphi编程实用技巧:日期处理、SQL操作与字符串管理
在Delphi编程,本文档详细介绍了多个常见的IT操作技巧和功能。首先,关于日期处理,作者分享了一个示例,展示了如何使用`TForm1.FormCreate`事件的代码来获取本月的第一天和最后一天,这涉及到`StrToDate`和`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值