前端参数效验防止sql注入的方法

最新推荐文章于 2024-09-22 16:16:41 发布
最新推荐文章于 2024-09-22 16:16:41 发布
阅读量1.9k 收藏 5
点赞数
文章标签: sql 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43578304/article/details/127907126
版权

最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。

错误示例

请求api时,参数未加效验;

 let _obj ={
      pageSize: pageSize,
      pageNum: pageNum,
      sort: sort,
      type:pharType,
    };
  return api.callApi("/navmark/sx_phar/list", _obj)
    .then((res) => {
      dataList.value =setPharImg(res.data);  data.cur_id="";
    });

此时扫描的错误为:
Web应用程序对用户输入数据的合法性没有进行判断和过滤,攻击者可以通过控制可控参数来构造不同的SQL语句来实现对数据库的任意操作。比如查询、删除,增加,修改数据等等,严重时还可以对操作系统执行命令。

正确操作

前端校验:

 let _obj ={
      pageSize: pageSize,
      pageNum: pageNum,
      sort: sort,
      type:pharType,
    };
     let flag =checkSqlsIn(_obj);if(flag){proxy.$modal.msgError("存在非法输入");return}
  return api.callApi("/navmark/sx_phar/list", _obj)
    .then((res) => {
      dataList.value =setPharImg(res.data);  data.cur_id="";
    });
  //SQL注入常见字符
var sqlKeyWords = "select ,union ,asc ,desc ,in ,like ,into ,exec ,from ";
sqlKeyWords += ",update ,insert ,delete ,count ,asc( ,char( ,chr( ,drop ,table ,truncat ";
sqlKeyWords += ",mid( ,abs( ,= ,-- ,<script ,/script ";
sqlKeyWords += ",where ,join ,create ,alter ,cast ,exists ,; , or , and ,order by ,group by ";
//分割成数组
var sqls = sqlKeyWords.split(",");
  
  function checkSqlsIn(_obj) {
  let lxdInput = JSON.stringify(_obj);
	let invalid = false;
	let chkInput = (lxdInput + "").toLowerCase();
	let pos = -1;
	for (let i = 0, n = sqls.length; i < n; i++) {
		pos = chkInput.indexOf(sqls[i]);
		if (pos != -1) {
			invalid = true;
			break;
		}
	}
	return invalid;
}

对提交的参数进行合法化效验,上面的校验只是匹配了部分sql常见字符。其他的自行补充
后端校验:后端使用不同语言的可能校验方式可能有所区别,大概思路类似,要么预编译sql语句,要么先校验参数合法性。

Devil枫
关注
浅谈如何防止sql注入
xj28555的博客
07-19 633
​认识SQL注入 什么是SQL注入,百度给大家解释的很清楚了!这里不过多介绍,帮大家复制过来。 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 如何防止SQL注入 有句老话说的好,有人的地方就会有江湖。SQL注入也有这么一句老话,叫有输入的地方就可能存在SQ...
SQL注入基础 知识
zhuangsle的博客
08-25 886
 SQL注入基础知识 一、SQL注入的原理 (一)注入原理 1、一句话总结 sql注入存在于前后端数据交互中,前端用户输入的数据(或参数)没有经过严格处理,直接交给执行(即带入数据进行相关的操作)。 2、产生原因 后端接受前端用户相关的参数,没有经过严格的处理,就直接带入数据库操作。 3、SQL注入攻击的必要条件 明确web应用程序所使用的技术,例如php+mysql,asp+mssql等; 确定前端提交数据的方式与位
web开发中防止SQL注入
diaoding3046的博客
11-21 382
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输入用...
如何防止SQL注入
最新发布
weixin_61898502的博客
09-22 554
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
防止SQL注入
u014644574的博客
04-27 2077
防止SQL注入
如何防止sql注入
jkwanga的博客
04-11 1894
什么是SQL注入SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中 最普遍的漏洞之一。 例如:某学长通过攻击学校数据库修改自己成绩,一般用的就是SQL注入方法。 原因总结: 对sql语句和关键字未进行过滤 当前端传过来的数据进入到后端进行处理时,没做严格的判断,导致其传入的‘数据(含有sql关键字)’ 在拼接sql语句中 由于其特殊性,被当作sql语句的一部分被执行,导致数据库受损(修改,删除等) 防止方法: 过滤掉关键字:select、insert、update、delete
如何防止 SQL 注入?
weixin_40074744的博客
10-25 263
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入的问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
vue前端防止sql注入
08-22
- *3* [前端参数效验防止sql注入方法](https://blog.csdn.net/weixin_43578304/article/details/127907126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt...
java防注入原理和sql运行过程
HY845638534的博客
06-05 1001
java防注入原理和sql运行过程 谈及java防注入就要谈及sql运行过程,只有理解了sql运行过程,才能理解预编译,才能深入了解java防注入的实现原理 1 sql注入 sql注入,简单来说就是用户在前端web页面输入恶意的sql语句(拼接的sql语句)来欺骗后端服务器去执行恶意的sql代...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5799
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
基于jQuery的SQL注入攻击防范实现
12-29
现今实现防止SQL 注入攻击主要是在服务器端实现, 实现的方法主要有基于正则表达式的输入验证、敏感字符的 改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面, 其一, 服务端处理数据使系统资源被过分占用, 容易 造成服务器端拒绝服务; 其二, 编写动态网页的脚本语言多样化, 每种脚本对应一种防止SQL注入方法, 使程序不具有可 读性、标准性。文中着力解决基于服务器端处理SQL 注入攻击的缺陷, 故探寻了一种在客服端实现的基于jQuery 防止 SQL 注入攻击的方法, 其目的是使攻击在客服端就被拦截, 同时利用jQuery开放性的特点使w eb程序更具有可移植性。
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8143
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
前端sql 注入正则替换
qq_35371821的博客
05-11 967
export default (data) => { let obj = typeof data == 'object' ? data : JSON.parse(data) Object.keys(obj).forEach(item => { if (/keyword/i.test(item)) { if (!obj[item]) { return } const i = /select|update|delete|trunca
SQL注入及页面输出内容验证处理-转
weixin_30262255的博客
04-20 126
#region 防SQL注入及页面输出内容验证处理 /// <summary> ///替换单引号 /// </summary> /// <param name="str"></param> /// <returns></returns> public st...
JSP使用过滤器防止SQL注入
weixin_30776545的博客
05-29 140
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行S...
网站mysql防止sql注入攻击 3种方法总结
热门推荐
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击。 sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
防止sql注入攻击的方法总结
weixin_33895475的博客
12-18 479
SQL注入是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料的结果,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员...
两段简单的JS代码防止SQL注入
weixin_30387799的博客
08-31 112
1.URL地址防注入://过滤URL非法SQL字符varsUrl=location.search.toLowerCase();varsQuery=sUrl.substring(sUrl.indexOf("=")+1);re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Devil枫

发财小手鼓励一下作者大大

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值