防止sql注入的方法(替换敏感关键字)

最新推荐文章于 2023-03-21 20:53:58 发布
最新推荐文章于 2023-03-21 20:53:58 发布
阅读量752 收藏 2
点赞数
分类专栏: 关于程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40029679/article/details/110916331
版权 
 public static string FilterSql(string s)
    {
        if (string.IsNullOrEmpty(s)) return string.Empty;
        s = s.Trim().ToLower();
        s = ClearScript(s);
        s = s.Replace("=", "");
        s = s.Replace("'", "");
        s = s.Replace(";", "");
        s = s.Replace(" or ", "");
        s = s.Replace("select", "");
        s = s.Replace("update", "");
        s = s.Replace("insert", "");
        s = s.Replace("delete", "");
        s = s.Replace("declare", "");
        s = s.Replace("exec", "");
        s = s.Replace("drop", "");
        s = s.Replace("create", "");
        s = s.Replace("%", "");
        s = s.Replace("--", "");
        return s;
    }
kingwebo'sZone
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
史上最全的.net 防止sql注入攻击的替换文本
04-28
史上最全的.net 防止sql注入攻击的替换文本
ASP.NET 替换字符 SQL注入
weixin_34126557的博客
02-09 91
 /// <summary>    /// 处理字符串    /// </summary>    /// <param name="str">要处理的字符</param>    /// <returns>string</returns>    public static string GetStr(string str) 
sql关键字注入
02-21
sql关键字注入
防止sql注入
weixin_43778463的博客
09-19 378
防止sql注入
怎么防止SQL注入
。。。。
03-21 7014
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
如何防止sql注入
qiaoqi17的博客
08-07 589
1. 代码层防止sql注入攻击的最佳方案就是sql预编译 publicList<Course>orderList(StringstudentId){ Stringsql="selectid,name,student_id,statusfromSAPEwherestudent_id=?"; returnjdbcTemplate.query(sql,newObject[]{studentId},newBeanPropertyRowMapper(Co...
输入值/表单提交参数过滤有效防止sql注入方法
10-26
然而,这些方法并不是防止SQL注入的最安全策略,因为它们依赖于预定义的关键词列表,可能会遗漏某些复杂或变种的SQL注入攻击。更推荐使用预编译的SQL语句(如PDO的预处理语句)或者参数化查询,这样可以确保用户输入...
浅谈mybatis中的#和$的区别 以及防止sql注入方法
09-01
这种处理方式使得MyBatis能够自动进行预编译,有效地防止SQL注入攻击。因为预编译的SQL语句在执行时,会将参数作为变量处理,而不是作为SQL的一部分,从而避免了恶意用户通过传入恶意SQL代码进行攻击。 2. **$ 的...
MySQL解决SQL注入的另类方法详解
09-10
在MySQL中,防止SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
详解Mybatis框架SQL注入指南
08-18
Mybatis提供了两种参数符号来防止SQL注入:`#` 和 `$`。`#` 用于预编译(PreparedStatement),它会将参数转换为问号占位符,从而避免了SQL注入。例如,`SELECT * FROM NEWS WHERE ID = #{id}`,这里的`#{id}`会被预...
sql注入关键字大全
07-27
sql注入关键字大全,包括sqlserve , odbc,等
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
防止SQL注入的最佳实践是采用参数化SQL查询,这种方法在新项目中应优先考虑。参数化查询可以确保输入的数据被正确地作为数据处理,而不是作为SQL命令的一部分,从而消除注入风险。 然而,对于那些已经使用了拼接SQL...
php sql注入 替换,通过替换单引号来防止SQL注入
weixin_29343187的博客
03-13 520
我想知道这样的事情有什么问题(PHP)这个想法。很久以前就证明它存在缺陷。首先,这段代码确实改变了数据。这是抽象思考的好方法,但它会在现实生活中使你的应用程序崩溃。事实上,这是不可接受的行为。但是,您可以转义引号而不是替换它们。其次,您(就像大多数PHP人员一样)认为替换某些字符会使您的数据安全。虽然不是。每个关心在注射保护领域重新发明轮子的PHP用户总是假设只有字符串被添加到查询中。他们从未明确...
mysql 注入 替换字符串_防止sql注入替换危险字符
weixin_35931756的博客
01-19 584
在用户名或者密码框中输入“11‘ or ’1‘ = '1”时,生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”;该语句永远为真。为了防止sql语句的注入,提高程序的安全性。需要替换危险字符。Java代码段:public class Checkstr {public...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6491
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入的五种方法
热门推荐
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
java 过滤敏感词和特殊字符 防止sql注入
梁哥|Time
06-04 1万+
前一段时间,被告知公司主页可以sql注入,所以就写了, 开始想一起过滤敏感词语和特殊字符,网上搜索一遍,感觉没有什么好的方法, 所以借鉴了网上部分思路,总体分2步走, 一是过滤敏感词语,我目前能想到的就这么多,可以自己加 二是过滤特殊字符 代码如下: String sqlValidate(String str) {          String str2 = str.toL
【数据库】 防止sql注入,过滤敏感关键字
weixin_30588907的博客
11-21 252
private bool FilterIllegalChar(string sWord) { var result = false; var keyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master...
关于SQL注入敏感词过滤问题
weixin_30922589的博客
08-02 614
关于对字符的过滤问题sql查询条件过滤掉单引号是否就安全了呢? 在文章最后一段管理员做了敏感字符的过滤,管理员过滤掉了空格,而攻击者通过/**/来代替空格绕过了过滤字符。感觉很有成就感,呵呵呵呵。真实环境中管理员发现了漏洞不太可能只过滤掉空格的。你不是注入吗?我把单引号、等于号、空格一起都过滤掉,看你怎么办。。其实没用的,我相信现在还存在仅仅把单引号替换双单引号的网站。其实在最...
java如何用正则表达式防止sql注入
最新发布
05-25
Java中可以使用正则表达式来防止SQL注入攻击,具体方法如下: 1. 对用户输入的字符串进行过滤,只允许输入数字、字母和部分特殊字符,例如下面的正则表达式: ``` ^[a-zA-Z0-9_,./<>?;':"[]{}\|-]*$ ``` 该正则表达式表示只允许输入大小写字母、数字和部分特殊字符。 2. 对用户输入的SQL语句进行检查,只允许包含特定的关键字,例如SELECT、UPDATE、INSERT等。可以使用下面的正则表达式: ``` ^(select|update|insert|delete)[\s\S]*$ ``` 该正则表达式表示只允许输入SELECT、UPDATE、INSERT和DELETE关键字。 3. 对用户输入的参数进行转义,将特殊字符进行转义,例如将单引号转义为两个单引号,将双引号转义为两个双引号等。可以使用Java提供的PreparedStatement类来进行转义,例如: ```java PreparedStatement ps = conn.prepareStatement("SELECT * FROM table WHERE name = ?"); ps.setString(1, name.replaceAll("[\"']", "")); ResultSet rs = ps.executeQuery(); ``` 在上面的代码中,使用了replaceAll方法将单引号和双引号替换为空字符串,以防止SQL注入攻击。同时,使用了PreparedStatement类来进行参数转义,避免直接拼接SQL语句导致注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值