mysql 禁止转义_必须转义哪些字符才能阻止(我的)SQL注入?

最新推荐文章于 2024-07-28 03:32:59 发布
最新推荐文章于 2024-07-28 03:32:59 发布
阅读量1.6k 收藏
点赞数
文章标签: mysql 禁止转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35156503/article/details/113274286
版权

6 个答案:

答案 0 :(得分:46)

关于退格字符的猜测:想象一下,我发送了一封电子邮件“嗨,这是根据需要更新数据库的查询”和带有的附加文本文件

INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);

你捕获文件,看到它没关系,然后将文件传输到MySQL。然而,你不知道的是我把

DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b

在INSERT STATEMENT之前你没有看到,因为在控制台输出上,退格会覆盖它。 BAMM!

但只是一个猜测。

编辑(无法抗拒):

ae64e1cbe3e51cba804e9c9a5c5a2db7.png

答案 1 :(得分:15)

\0 ASCII NUL(0x00)字符。

\'单引号(“'”)字符。

\"双引号(“"”)字符。

\b退格字符。

\n换行符(换行符)。

\r回车符。

\t标签字符。

\Z ASCII 26(Control-Z)。见表格后面的注释。

\\反斜杠(“\”)字符。

\%“%”字符。见表格后面的注释。

\_“_”字符。见表格后面的注释。

答案 2 :(得分:4)

如果您有其他选择,黑名单(识别不良角色)绝不是您的选择。

您需要使用白名单,更重要的是绑定参数方法的组合。

答案 3 :(得分:0)

用户输入包含制表符或退格符?

至关重要的是,到目前为止,大多数用户确实认为必须转发用户输入,并且这样的“可以防止注入”。

答案 4 :(得分:0)

Java解决方案:

public static String filter( String s ) {

StringBuffer buffer = new StringBuffer();

int i;

for( byte b : s.getBytes() ) {

i = (int) b;

switch( i ) {

case 9 : buffer.append( " " ); break;

case 10 : buffer.append( "\\n" ); break;

case 13 : buffer.append( "\\r" ); break;

case 34 : buffer.append( "\\\"" ); break;

case 39 : buffer.append( "\\'" ); break;

case 92 : buffer.append( "\\" );

if( i > 31 && i < 127 ) buffer.append( new String( new byte[] { b } ) );

}

}

return buffer.toString();

}

答案 5 :(得分:-2)

不能只从用户输入中删除单引号吗?

例如:1,Func

bin oy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql sql注入转义_node mysql防止SQL注入转义查询值
weixin_31953847的博客
01-21 910
node mysql防止SQL注入转义查询值,注意:这些转义值的方法仅在禁用NO_BACKSLASH_ESCAPES SQL模式(这是MySQL服务器的默认状态)时有效。为了避免SQL注入攻击,在SQL查询中使用任何用户提供的数据之前,都应该先对其进行转义。您可以使用mysql.escape(),connection.escape()或pool.escape()方法:var userId = 's...
绕过mysql转义字符_SQL注入:各种绕过检测的姿势
weixin_29466045的博客
01-19 2618
这一篇主要总结一下sqlilabs中advanced injection中的用到的各种绕过,也就是less21-less38。目录1)数据编码2)特殊字符、语法关键字过滤3)存储型注入4)特殊字符转义与宽字节注入5)防火墙保护与http参数污染数据编码这个是最简单的,就是在普通注入的基础上用响应的编码方式编码一下payload即可,比如sqlilabs上这两个靶站都是用的base64编码。特殊字符...
mysql 禁止转义_必须转义哪些字符以防止(My)SQL注入
weixin_34246826的博客
01-21 1531
我正在使用MySQL API的功能mysql_real_escape_string()根据文档,它转义以下字符:\0\n\r\'"\Z现在,我查看了OWASP.org的ESAPI安全库,并在Python端口中包含以下代码(http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql。py):"""Encod...
MySQL中维持文本,无需转义
haoranhaoshi的博客
10-20 764
MySQL 转义
mysql字符串去除转义
最新发布
weixin_36213943的博客
07-28 55
字符串相关学习资料:https://edu.51cto.com/video/3832.htmlhttps://edu.51cto.com/video/4055.htmlMySQL字符串去除转义:一个实用指南 在处理MySQL数据库时,我们经常需要对字符串进行各种操作,包括去除转义字符转义字符MySQL中用于表示特殊...
mysql转义_PDO / MYSQL准备好的语句不转义字符
weixin_27972919的博客
01-19 606
I'm trying to write power a search function in my program:$search = "%".$_POST['search']."%";$query=$connection->prepare("SELECT * FROM TABLE WHERE COLUMN LIKE ?");$query->execute(array($search)...
c# 如何有效的防止符号为'的sql注入
weixin_30621919的博客
02-28 121
1 /// <summary> 2 /// 登录功能 3 /// </summary> 4 /// <param name="model"></param> 5 /// <returns></returns> 6 ...
SQL中的转义字符
12-14
在SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符在SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符。它的作用主要是防止恶意用户通过输入的特殊字符对SQL语句进行篡改,导致SQL注入攻击。需要注意的是,mysql_real_...
mysql存储过程转义字符_mysql存储过程转义字符
weixin_36313588的博客
01-19 1339
mysql和Oracle数据库的一些异同。1、WHERE字句的LIKE条件中通配符。Oracle和mysql都支持%和_两个通配符,前者匹配任意个任意字符,后者匹配最多一个任意字符。但在处理本意字符%和_时,就很不相同了。mysql可以用转义字符\来处理;oracle也可以用转义字符来处理,但必须在LIKE表达式后用escape '\'...文章科技小能手2017-11-22913浏览量Mysql...
MySQL 转义字符使用说明
12-15
MySQL中的转义字符是数据库操作中非常重要的...总之,掌握MySQL转义字符用法是确保数据正确存储和检索的关键,同时还能避免SQL注入等安全问题。在日常开发中,合理使用转义字符可以有效地增强代码的可读性和安全性。
mysql数据转义问题与处理
大洋
01-02 2727
mysql数据库插入以及更新,删除数据时,除了要进行html实体转换(htmlentities()函数),防止xss注入,还要对字符串类型的字段进行转义,特别是有中文字符时,以免引起一些不必要的错误,以及防止sql注入。 下面进行说明: 1、通常需要转义字符有: 单引号(’), 双引号("),反斜线(\),以及NULL字符 2、 php5.3版本之前,magic_quotes_gpc默认是开启...
php mysql百分号 数字 不转义_php+mysql如何不转义原样保存内容
weixin_39835158的博客
01-19 415
本帖最后由 ycyuyuan 于 2013-12-10 20:48:07 编辑不知php+mysql保存或更新数据库里的记录时有没有可以不使用sql的方式,如果要使用sql考虑内容有特殊字符SQL注入就要转义保存吧,问一下有没有不用转义原样保存的方法(同时没有SQL注入漏洞)一般需要原样保存的东西:比如要保存一段很长的随机生成的密钥保存一段代码片段保存php文件到数据库保存自己写的技术文章保存新...
mysql 导出不转义函数,为MySql找到了一个弱的转义函数,该如何利用?
weixin_39633493的博客
02-05 195
In an application I'm working on I've found a weak escape function to prevent injection. I'm trying to prove this, but I'm having trouble coming up with a simple example.The escape function works as f...
mysql防止XML中标点符号转义
u012275249的博客
03-22 607
<update id="upSerialNum" parameterType="map"> update T_serial_record SET serial_num = serial_num + 1 WHERE meeting_id = #{ meetingId } AND serial_num <![CDATA[ >= ]]> #{ serialN...
java mysql 字符转义读取_Java-转义字符串以防止sql注入
weixin_42506152的博客
01-27 486
PreparedStatement是可行的,因为它们使SQL注入成为不可能。下面是一个简单的示例,将用户的输入作为参数:publicinsertUser(Stringname,Stringemail){Connectionconn=null;PreparedStatementstmt=null;try{conn=setupTheDatabaseConnectionSom...
mysql 关键字转义
germmy-神一样的开发
06-16 627
  mysql中,如果关键字作为了字段名,那么需要转义。   只要在关键字的2边添加''就可以了   参考链接:http://solodu.iteye.com/blog/520419      
解决MySQL字段存JSON,返回前端解析加上转义字符问题
知北
01-31 2075
JSON转义
MySQL数据表储存特殊字符
"代码"的日常搬运
09-09 5951
1.应用场景 有时, 需要向数据库中保存一些特殊字符,需要先进行特殊处理,如转义处理等,避免数据保存出错。 2.学习/操作 环境: MySQL/MariaDB 具体版本号没记住,也是较新的版本 2.1.向数据表中插入如下数据 insert into mc_common_info (`path`,`version_id`,`value`,`upd...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值