前端参数效验防止sql注入的方法

最新推荐文章于 2024-04-29 19:28:06 发布
最新推荐文章于 2024-04-29 19:28:06 发布
阅读量1.5k 收藏 3
点赞数
文章标签: sql 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43578304/article/details/127907126
版权

最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。

错误示例

请求api时,参数未加效验;

 let _obj ={
      pageSize: pageSize,
      pageNum: pageNum,
      sort: sort,
      type:pharType,
    };
  return api.callApi("/navmark/sx_phar/list", _obj)
    .then((res) => {
      dataList.value =setPharImg(res.data);  data.cur_id="";
    });

此时扫描的错误为:
Web应用程序对用户输入数据的合法性没有进行判断和过滤,攻击者可以通过控制可控参数来构造不同的SQL语句来实现对数据库的任意操作。比如查询、删除,增加,修改数据等等,严重时还可以对操作系统执行命令。

正确操作

前端校验:

 let _obj ={
      pageSize: pageSize,
      pageNum: pageNum,
      sort: sort,
      type:pharType,
    };
     let flag =checkSqlsIn(_obj);if(flag){proxy.$modal.msgError("存在非法输入");return}
  return api.callApi("/navmark/sx_phar/list", _obj)
    .then((res) => {
      dataList.value =setPharImg(res.data);  data.cur_id="";
    });
  //SQL注入常见字符
var sqlKeyWords = "select ,union ,asc ,desc ,in ,like ,into ,exec ,from ";
sqlKeyWords += ",update ,insert ,delete ,count ,asc( ,char( ,chr( ,drop ,table ,truncat ";
sqlKeyWords += ",mid( ,abs( ,= ,-- ,<script ,/script ";
sqlKeyWords += ",where ,join ,create ,alter ,cast ,exists ,; , or , and ,order by ,group by ";
//分割成数组
var sqls = sqlKeyWords.split(",");
  
  function checkSqlsIn(_obj) {
  let lxdInput = JSON.stringify(_obj);
	let invalid = false;
	let chkInput = (lxdInput + "").toLowerCase();
	let pos = -1;
	for (let i = 0, n = sqls.length; i < n; i++) {
		pos = chkInput.indexOf(sqls[i]);
		if (pos != -1) {
			invalid = true;
			break;
		}
	}
	return invalid;
}

对提交的参数进行合法化效验,上面的校验只是匹配了部分sql常见字符。其他的自行补充
后端校验:后端使用不同语言的可能校验方式可能有所区别,大概思路类似,要么预编译sql语句,要么先校验参数合法性。

Devil枫
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Oracle 社会信用代码效验 SQL语句
01-23
Oracle 社会信用代码效验 SQL语句
Oracle 身份证合法性效验 SQL 语句
01-23
Oracle 身份证合法性效验 SQL 语句
防js代码注入
WiFi_Uncle的专栏
10-11 4772
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
js脚本注入和sql注入
你好_晴天
02-14 1893
注入攻击
sql注入检测工具 mysql_SQL注入测试
weixin_39961943的博客
02-11 1506
简介SQL 注入是一种专门针对SQL语句的攻击方式。通过把SQL命令插入到web表单提交、输入域名或者页面请求的查询字符串中,利用现有的程序,来非法获取后台的数据库中的信息。在web的测试中涉及到的会比较多些。注入原理存在注入的原因是后台在编写程序时,没有对用户输入的数据做过滤。例:1、用户在某个输入框提交的参数是123。浏览器提交的URL为: http://www.xxx.com/index....
防止SQL注入
u014644574的博客
04-27 1944
防止SQL注入
前端安全问题及防范措施
weixin_42429220的博客
04-24 1260
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的防范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面中注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
如何防止SQL注入
qq_46130027的博客
06-04 713
防止SQL注入攻击是保护Web应用程序安全的重要步骤之一。以下是一些常见的防止SQL注入攻击的方法。综合使用参数化查询预编译语句,输入验证和过滤、最小验证和过滤、最小权限原则以及避免动态拼接SQL语句等措施,可以有效地防止SQL注入攻击。然而,安全是一个不断发展的领域,因为定期评估和改进应用程序的安全性也是非常重要的。
防止SQL注入的四种方案
dehuisun的专栏
09-05 8433
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
java sql注入l
10-01
-- 防止SQL注入的过滤器 --> 72 <filter> 73 <filter-name>antiSqlInjection</filter-name> 74 <filter-class>com.tarena.dingdang.filter.AntiSqlInjectionfilter</filter-class> 75 </filter> 76 ...
通用的前端效验工具.js
08-09
不用下载,进我的博客,有公开。当初就是上着玩下的,结果不知道...https://blog.csdn.net/weixin_41088946/article/details/98965567 前端通用的效验工具 JS文件 源码。可对数据进行精准效验,并含有自定义的反馈值。
使用特性对函数传入参数进行效验(代理模式)
07-24
学习C#半年 一直觉得传统验证方法不够优雅 可读性较差 所以在查阅资料的情况下 使用代码模式+特性 完成了对于参数效验 使用时只需要在函数传入的参数前加入指定特性就可以进行效验 可添加新的效验方法 写法比较...
SQL Server的基本操作示例
最新发布
weixin_58566539的博客
04-29 438
SQL Server的基本操作示例
攻防演练作为红方:postgresql提权之UDF提权 ,及其好用的工具
keyboard专栏
04-28 392
在 PostgreSQL 中,用户定义的函数(UDF)提权是一种常见的提升权限的方法,尤其是当你已经获得了数据库的访问权限但需要更高级别系统权限时。UDF 提权涉及在数据库中创建或使用函数,这些函数可以执行系统级别的命令,从而允许攻击者在数据库服务器上执行任意代码。
SQL底层执行过程
qq_14886109的博客
04-28 802
SQL底层执行过程,INNODB,二阶段提交
优化SQL方法
weixin_44139651的博客
04-26 1274
使用join实现,但不适合join太多表,阿里巴巴开发者手册的规定,join表的数量不应该超过3个,join表数量太多时,会导致mysql在选错索引。一般SQL优化第一考虑的是索引优化,可使用explain命令,查看MySQL的执行计划,确认SQL是否有走索引。相对连接查询,子查询使用in关键字实现,具有结构化,相对简单,但是需要创建和删除临时表,增加资源消耗。索引可提升SQL效率,但索引需要额外的存储空间,而且还会有一定的性能消耗。left join,两个表的交集,以及左表剩余的数据,左表为驱动表。
SQL的基础语句
qq_51321722的博客
04-22 1522
因此在写子查询语句时,可以先测试下内层的子查询语句是否输出了想要的内容,再一层层往外测试,增加子查询正确率。使用SELECT查询时,如果结果集数据量很大,比如几万行数据,放在一个页面显示的话数据量太大,不如分页显示,每次显示100条。上述查询LIMIT 3 OFFSET 0表示,对结果集从0号记录开始,最多取3条。包含左边表的全部行(不管右边的表中是否存在与他们匹配的行),以及右边表中全部匹配的行。包含右边表的全部行(不管右边的表中是否存在与他们匹配的行),以及左边表中全部匹配的行。
SQL Server】入门教程-基础篇(二)
m0_74229735的博客
04-29 734
本章要讲的就是Sql Server的高级语言,还有后续。
vue前端防止sql注入
08-22
- *3* [前端参数效验防止sql注入方法](https://blog.csdn.net/weixin_43578304/article/details/127907126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Devil枫

发财小手鼓励一下作者大大

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值