SQL防注入方法

最新推荐文章于 2023-09-05 12:44:54 发布
最新推荐文章于 2023-09-05 12:44:54 发布
阅读量183 收藏
点赞数
分类专栏: 个人学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45363630/article/details/100708203
版权 
    public static string FilterSpecial(string text)
    {
        if (text == "")
        {
            return text;
        }
        else
        {
            text = text.Replace("'", "");
            text = text.Replace("<", "");
            text = text.Replace(">", "");
            text = text.Replace("%", "");
            text = text.Replace("'delete", "");
            text = text.Replace("''", "");
            text = text.Replace("\"\"", "");
            text = text.Replace(",", "");
            text = text.Replace(".", "");
            text = text.Replace(">=", "");
            text = text.Replace("=<", "");
            text = text.Replace("-", "");
            text = text.Replace("_", "");
            text = text.Replace(";", "");
            text = text.Replace("||", "");
            text = text.Replace("[", "");
            text = text.Replace("]", "");
            text = text.Replace("&", "");
            text = text.Replace("#", "");
            text = text.Replace("/", "");
            text = text.Replace("-", "");
            text = text.Replace("|", "");
            text = text.Replace("?", "");
            text = text.Replace(">?", "");
            text = text.Replace("?<", "");
            text = text.Replace(" ", "");
            return text;
        }
    }

public static string FilterSQLStr(string text)
    {
        text = text.Trim();
        if (string.IsNullOrEmpty(text))
            return string.Empty;
        text = Regex.Replace(text, "[\\s]{2,}", " ");    //two or more spaces
        text = Regex.Replace(text, "(<[b|B][r|R]/*>)+|(<[p|P](.|\\n)*?>)", "\n");    //<br>
        text = Regex.Replace(text, "(\\s*&[n|N][b|B][s|S][p|P];\\s*)+", " ");    //&nbsp;
        text = Regex.Replace(text, "<(.|\\n)*?>", string.Empty);    //any other tags
        text = text.Replace("'", "''");
        text = text.Replace("xp_cmdshell", "");
        text = text.Replace("exec master.dbo.xp_cmdshell", "");
        text = text.Replace("net localgroup administrators", "");
        text = text.Replace("delete from", "");
        text = text.Replace("net user", "");
        text = text.Replace("/add", "");
        text = text.Replace("drop table", "");
        text = text.Replace("update", "");
        return text;
    }
独行无仆从
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何sql注入sql注入方法介绍
小小博客爱分享
08-18 7336
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
ASP SQL注入方法
09-06
ASP SQL注入是一种重要的网络安全措施,它涉及到止恶意用户通过输入特定的SQL代码来操纵或破坏数据库。在ASP(Active Server Pages)环境中,由于代码直接与数据库交互,如果不进行适当的御,SQL注入攻击可能...
SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入的四种方案
dehuisun的专栏
09-05 9410
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
浅谈SQL注入的四种方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
sql注入 like 和 in 应该怎么写
英雄汉孑的博客
08-25 6361
注入 like 和 in 应该怎么写
C#SQL注入代码的三种方法
09-04
在C#中,SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
SQL注入.rar
04-05
针对这一问题,我们需要深入理解SQL注入的概念、机制以及范策略。 SQL注入的原理是,当用户通过表单、URL参数等方式提交数据到服务器时,这些数据未经处理直接拼接到SQL查询语句中。例如,一个简单的登录系统...
php简单实现sql注入方法
12-18
本文实例讲述了php简单实现sql注入方法。分享给大家供大家参考,具体如下: 这里没有太多的过滤,主要是针对php和mysql的组合。 一般性的注入,只要使用php的 addslashes 函数就可以了。 以下是一段copy来的...
sql注入解决办法
如风
11-09 1216
sql注入步骤: 1. 什么是SQL注入?我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!举个简单的查询例子,后台sql是拼接的:select * from test where name='+参数传递+';前台JSP页面要求输入name,那么黑客可以输入: ';DROP TABLESPACE  TEST INCLUDI
SQL注入的5种方法
06-13
SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
sql止in注入方法
飞鱼的博客
05-29 459
上面的代码中,当输入的参数为空时,我们为 SQL 语句加入了一个恒不成立的条件“1=0”,告诉数据库不需要返回任何记录,避免执行非意义的查询。否则,我们可以组装出正确的带有 “IN” 操作符的 SQL 语句。值得注意的是,如果您使用参数化查询,那么 EFCore 将自动处理NULL值。因此,如果数据库列包含NULL值,则可以将它们视为有效结果之一。// 如果参数值为空,则返回无数据。
数据库注入
zhangshanfeng_的博客
06-17 1193
数据库注入范 对于一个项目来说,安全永远是重中之重。没有安全,信息将会泄露,应用的稳定性也堪忧。一个不安全的项目,对一个企业、组织的影响是严重而深远的。轻则麻烦缠身,重则伤筋动骨,甚至濒临倒闭。因此安全很重要。 而数据库注入又是近年来流行的攻击方式,凡是大型应用,很少有不使用数据库的,数据库注入荣登多年OWASP10大安全漏洞榜。因此,做好数据库注入范十分重要。 下面是有效范数据库注入的方...
MySQL 注入及单引号/双引号处理(C++)
heyuye110
03-03 979
1.介绍 官网: https://tangentsoft.com/mysqlpp/home mysql++, 也叫 mysqlpp,是把MySQL提供的C库的一个C++封装库,用标准 STL 编写,并提供像操作STL容器一样方便的操作数据库的一套机制。其中的 SSQL标准提供了与 Hibernate 相同的封装思想,使 Table 与 Class 可以做 一 一映射,以实现像STL一样方便的操作数据表。 2.安装 # 报错: /usr/bin/ld: cannot find -lmysqlpp # 解决
c/c++ sql注入
qixiang2013的专栏
03-29 1708
MySQL 支持两种转义模式: ANSI_QUOTESSQL 模式,以及关闭此功能的模式,我们称之为 MySQL模式。 ANSI SQL模式:简单地用(两个单勾)编码所有'(单勾)字符'' MySQL模式,请执行以下操作: NUL (0x00) --> \0 [This is a zero, not the letter O] BS (0x08) --> \b TAB (0x09) --> \t LF (0x0a) --> \n CR (0x0d) -->
SQL注入解决方案(1)
闪亮滴眼露
02-01 1983
   止 SQL Injection 解决方案问题的提出:(1)    科技厅项目库系统通过注入方式, 只需输入帐号.(2)    KJXM 通过注入 删除存储过程.(3) ANDES  1.       验证所有客户端输入.始终通过测试类型, 长度, 格式和范围来验证用户输入. 实现对恶意输入的预. 不能让不安全的代码可能被复制到安
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mysql 自带注入_MySQL 如何sql注入
weixin_31201555的博客
01-19 647
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
用过滤器sql注入
zzchances的博客
12-24 2090
使用过滤器是解决sql注入的一种方式,其它可以前端校验处理等 过滤器写法: package XXX.utils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.Enumeration; /** * sql注入过滤器 *
c++ sql语句注入方法
最新发布
11-11
以下是C++中SQL注入的几种方法: 1.使用参数化查询:参数化查询是一种预编译的SQL语句,其中所有的参数都是使用占位符表示的。这种方法可以SQL注入攻击,因为参数值不会被解释为SQL命令的一部分。 2.过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值