php js 注入攻击,JavaScript_防范sql注入式攻击js版本,SQL注入式攻击是利用是指利用 - phpStudy...

最新推荐文章于 2023-11-04 16:15:34 发布
最新推荐文章于 2023-11-04 16:15:34 发布
阅读量145 收藏
点赞数

SQL注入 JavaScript 防范措施 用户输入验证 特殊字符过滤
关键词由CSDN通过智能技术生成

防范sql注入式攻击js版本

SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击

动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。

比如:

如果你的查询语句是select * from admin where username=''"&user&"'' and password=''"&pwd&"''"

那么,如果我的用户名是:1'' or ''1''=''1

那么,你的查询语句将会变成:

select * from admin where username=''1 or ''1''=''1'' and password=''"&pwd&"''"

这样你的查询语句就通过了,从而就可以进入你的管理界面。

所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。

需要过滤的特殊字符及字符串有:

net user

xp_cmdshell

/add

exec master.dbo.xp_cmdshell

net localgroup administrators

select

count

Asc

char

mid

''

:

"

insert

delete from

drop table

update

truncate

from

%

下面是我写的两种关于解决注入式攻击的防范代码,供大家学习参考!

js版的防范SQL注入式攻击代码:

[CODE END]

asp版的防范SQL注入式攻击代码~:

[CODE START]

On Error Resume Next

Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then

strTemp = "http://"

Else

strTemp = "https://"

End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")

If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"''") or Instr(strTemp,"%20or%20") then

Response.Write "

Response.Write "alert(''非法地址!!'');"

Response.Write "location.href=''error.asp'';"

Response.Write "

End If

%>

以下是较为简单的防范方法,这些都是大家比较熟悉的方法,我就是转帖过来。希望能给你一点帮助~

主要是针对数字型的变量传递:

id = Request.QueryString("id")

If Not(isNumeric(id)) Then

Response.Write "非法地址~"

Response.End

End If

本文作者:相关阅读:

javascript支持面向对象的开发(2)

用asp实现文件浏览、上传、下载的程序

高手:Windows系统常用的快捷键

基于文本的搜索

sysservers 中找不到服务器,请执行 sp_addlinkedserver 将该服务器添加到sysserver

天涯论坛下面固定漂浮特效的做法

windows 安全模式下的作用

php中一个完整表单处理实现代码

运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序

一个php作的文本留言本的例子(一)

关闭IE启用图片工具列

使用FreeBSD构建流量控制防火墙

PHP下编码转换函数mb_convert_encoding与iconv的使用说明

Vista照片库中实现文件快速批量的更名

苏小曦
关注
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5546
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
DVWA-写给自己看的傻瓜教程
qq_39283174的博客
10-17 2612
下载PHPstudy ->官网下载 下载DVWA ->官网下载64位版本 ->将压缩包解压在PHP study的WWW文件目录下 ->将DVWA-master下config下的文件改名为config.inc.php ->将文件中密码改为root 配置DVWA ->打开http://localhost/dvwa-master/setup.php ->点击c...
PHP防止sql注入-JS注入
aimen2015的博客
07-10 157
一:为了网站数据安全,所有和数据库操作的相关参数必须做相关过滤,防止注入引起的网站中毒和数据泄漏 1.PHP自带效验函数 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 受影响的字符串:\x00、\n、\r、\、'、"、\x1a ==>攻击实例 <?php $con = mysql_con...
php文本框防止js注入
chu_yubo的博客
03-15 1057
前台用texterea 输入数据,保存数据之前要进行转化: htmlspecialchars(addslashes($data)); 如果前端输出格需要换行的话: 将\n 转化为&lt;br&gt; str_replace(" ", " ", str_replace("\n", "&lt;br&gt;", $data)); ...
php插入js教程,初识PHP
weixin_34739646的博客
03-11 706
1.在PHP中,全局变量都要大写;2.在PHP表单提交方中,method属性设置了获取和提交数据的方;3.如果在表单中使用了上传元素,那么就要给表单添加属性:enctype="multipart/form-data";4.注销用户功能的实现:session_start(); //启动会话unset($_SESSION['user']); //删除单个会话unset($_SESSION['p...
php防止js脚本和sql注入攻击
illumiD的博客
10-23 1197
mysql_real_escape_string($str,$connect); echo htmlspecialchars($str);   w3解释: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: &amp; (和号)成为 &amp; " (双引号)成为 " ' (单引号)成为 ' &lt; (小于)成为 &lt; &...
php js html转义,浅谈html转义及防止javascript注入攻击的方法
weixin_32016817的博客
03-20 218
下面小编就为大家带来一篇浅谈html转义及防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的...
PHP毕业设计——许愿墙升级版(有源码)
01-05
4. **安全实践**:分析代码中的输入验证和防止SQL注入等安全措施。 5. **用户认证和授权**:如果项目中包含用户系统,研究其登录、注册和权限管理机制。 6. **数据库设计**:分析`php_wish.sql`中的表结构,理解数据...
开发知识点-PHP从小白到拍簧片
最新发布
aming小老弟
11-04 717
收集来自 method=“post” 的表单中的值。POST 方法的发送信息的量最大值为 8 MB(可通过设置 php.ini 文件中的 post_max_size 进行更改)
js笔记
Pwsifeng的博客
01-10 2543
s原生JS笔记 电话:17339853876(微信同号) 二阶段学习内容 1、B/S架构(web结构) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4LYi0Arv-1641803458638)(img1628929434621.png)] 2、前端工程师的工作 人机交互 前后端交互 3、HTML、CSS、JS的作用和关系 一个网页由三部分组成:HTML、CSS、Javascript HTML: 结构(静态) [外链图片转存失败,源站可能有防盗链
教你如何反击令人防不胜防的JS挂马(图).php
02-05
教你如何反击令人防不胜防的JS挂马(图).php
php依赖注入的三种方,JavaScript_详解Angularjs中的依赖注入,一个对象通常有三种方可以 - phpStudy...
weixin_30077373的博客
03-21 101
详解Angularjs中的依赖注入一个对象通常有三种方可以获得对其依赖的控制权:在内部创建依赖;通过全局变量进行引用;在需要的地方通过参数进行传递依赖注入是通过第三种方实现的。比如:function SomeClass(greeter) {this.greeter = greeter;}SomeClass.prototype.greetName = function(name) {this.g...
php 图片中的恶意代码,图片攻击-BMP图片中注入恶意JS代码 <转载>
weixin_33462804的博客
03-27 983
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格的图片里注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
网络靶场实战-PHP代码执行--PNG注入
蛇矛实验室
12-13 1272
当服务器可以将图像文件解释为PHP时,例如弱扩展检查、解析漏洞、本地文件包含漏洞、错误配置PHP解析扩展等方,可以使用这些技术来造成代码执行。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1316
文件上传漏洞作为获取服务器权限最快的方,虽然相关资料很多,但很多人对上传校验方、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
php网站常见的几种攻击
技术日记
10-18 3573
针对 PHP 的网站主要存在下面几种攻击::     1、命令注入(Command Injection)     2、eval 注入(Eval Injection)     3、客户端脚本攻击(Script Insertion)     4、跨网站脚本攻击(Cross Site Scripting, XSS)     5、SQL 注入攻击(SQL injection)     6、
常见的php攻击(6种攻击详解)
JoeyBlog
12-02 9197
1、SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 [python] view plain copy $username = $_POST['username'];  $query = "sele
防止js注入
悦分享
10-28 6066
防止js注入 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢? 使用HttpServletReques...
PHP168 SQL注入漏洞分析与利用
"php168sql注入漏洞描述了一个特定版本php168存在SQL注入安全问题,允许攻击者通过这个漏洞获取数据库的相关信息。这个问题通常发生在应用未能正确过滤或验证用户输入的情况下,使得恶意用户可以构造特殊的SQL查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值