SQL注入过滤

最新推荐文章于 2024-04-27 00:51:28 发布
最新推荐文章于 2024-04-27 00:51:28 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38236891/article/details/90205830
版权 
 /// <summary>
        ///SQL注入过滤
        /// </summary>
        /// <param name="InText">要进行过滤的字符串</param>
        /// <returns>如果参数存在不安全字符,则返回true</returns>
        public static bool SqlFilter2(string InText)
        {
            string word = "exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join";
            if (InText == null)
                return false;
            foreach (string i in word.Split('|'))
            {
                if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1))
                {
                    return true;
                }
            }
            return false;
        }

        /// <summary>
        /// 将指定的str串执行sql关键字过滤并返回
        /// </summary>
        /// <param name="str">要过滤的字符串</param>
        /// <returns></returns>
        public static string SqlFilter(string str)
        {
            return str.Replace("'", "").Replace("&#39;", "").Replace("--", "").Replace("&","").Replace("/*","").Replace(";","").Replace("%","");
        }

        /// <summary>
        /// 将指定的串列表执行sql关键字过滤并以[,]号分隔返回
        /// </summary>
        /// <param name="strs"></param>
        /// <returns></returns>
        public static string SqlFilters(params string[] strs)
        {
            StringBuilder sb = new StringBuilder();
            foreach (string str in strs)
            {
                sb.Append(SqlFilter(str) + ",");
            }
            if (sb.Length > 0)
                return sb.ToString().TrimEnd(',');
            return "";
        }

        public static bool ProcessSqlStr(string Str)
        {
            bool ReturnValue = false;
            try
            {
                if (Str != "")
                {
                    string SqlStr = "&#39;|insert|select*|and'|or'|insertinto|deletefrom|altertable|update|createtable|createview|dropview|createindex|dropindex|createprocedure|dropprocedure|createtrigger|droptrigger|createschema|dropschema|createdomain|alterdomain|dropdomain|);|select@|declare@|print@|char(|select";
                    string[] anySqlStr = SqlStr.Split('|');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.IndexOf(ss) >= 0)
                        {
                            ReturnValue = true;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = true;
            }

            return ReturnValue;
        }
SZH8023
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1124
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
SQL注入防护
暖风吹起云之博客
08-04 3023
SQL注入介绍和防护。
【Web安全】SQL各类注入与绕过
最新发布
2401_84281638的博客
04-27 1000
其中concat()函数为连接函数,连接波浪号和查询信息,波浪号常常使用0x7e代替,substr为截取函数,因为报错信息最多32位,或者使用limit分页函数。
SQL注入(入门其二——过滤
qq_43520778的博客
09-06 1205
[toc]SQL注入
如何避免SQL注入
木易三水良
01-27 1088
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
SQL注入
weixin_44558065的博客
08-01 5308
SQL注入 概述:SQL注入是指攻击者通过把恶意SQL命令插入到web表单的输入域或页面请求的查询字符串中,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而欺骗服务器执行恶意的SQL命令的一种攻击方式(多年蝉联OWASP高危漏洞前三名!!!) 原理 ...
SQL注入攻击的种类和防范手段
afterain的专栏
06-26 643
转载自http://news.csdn.net/n/20080626/116978.html观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施。SQL注入攻击的种类知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。1.
sql注入漏洞
qz362228的博客
08-11 2462
sql注入漏洞原理,类型,防御方式,绕过技巧
SQL数据过滤
weixin_57784983的博客
03-28 361
distinct子句:检索指定列列表中的唯一不同值,也就是删除重复值; select phone from sales.customers(不使用distinct子句时) Selectdistinctphone fromsales.customers(使用distinct子句时) 2.where子句:指定搜索条件以过滤 FROM 子句返回的行;WHERE 子句仅返回导致搜索条件计算为TRUE 的行;搜索条件是逻辑表达式 例如:搜索产品id为1的产品信息: 3.and:逻辑运算符,...
SQL 过滤数据
m0_46408680的博客
04-10 1729
一、过滤数据 1.Select Distinct子句 Select Distinct子句检索指定列列表中的唯一不同值,换句话说,它从结果集中删除列中的重复值。 Distinct子句将所有NULL值视为相同的值。 语法如下: Select distinct Columu_name1, Column_name2, …… FROM Table_name; A.DISTINCT一个字段的示例 以下语句返回customers表中所有客户所在的所有城市...
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
防止sql注入过滤器配置
10-24
防止sql注入过滤器配置,
sql注入过滤
04-16
sql注入过滤
java web Xss及sql注入过滤器.zip
04-22
java web 过滤器防止Xss、sql注入,基于spring boot 2.0框架开发。
基于SQL语法树的SQL注入过滤方法研究.pdf
09-19
本文提出的【基于SQL语法树的SQL注入过滤方法】引入了一种新的安全策略。这种方法首先将用户输入转化为SQL语法树结构,然后通过比较这个结构与预期的、安全的SQL语句结构,判断用户输入是否包含恶意成分。这种方法的...
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6422
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql--SQL注入过滤
VIP_CR的博客
08-08 701
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要进行过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> public static bool SqlFilter2(string InText) ...
js防止sql注入参数过滤
weixin_33788244的博客
05-27 432
js防止sql注入参数过滤 &lt;script language="javascript"&gt; &lt;!-- var url = location.search; var re = /select%20|update%20|delete%20|truncate%20|join%20|union%20|exec%20|insert%20|drop%20|count|’|"|...
sql注入过滤如何实现
03-29
为了防止SQL注入攻击,可以采取以下几种过滤措施: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与用户输入的数据分开处理的方法。通过将用户输入的数据作为参数传递给预编译的SQL语句,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值