sqlite单引号注入问题

最新推荐文章于 2024-05-31 23:15:48 发布
最新推荐文章于 2024-05-31 23:15:48 发布
阅读量413 收藏
点赞数
文章标签: sqlite 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45447370/article/details/130645053
版权
文章讨论了在处理SQLite数据库时遇到的单引号注入问题,以及由此导致的JSON转换错误。通过替换单引号为双引号可以防止SQL注入,但会导致数据中单引号变为双引号。最终,采用将单引号替换为两个单引号的方法成功解决了问题,保持了SQL语句的安全性并允许正确插入包含单引号的数据。另外,提出了一种更安全的SQL拼接方法,使用参数化查询来避免此类问题。
摘要由CSDN通过智能技术生成

遇到的问题:sqlite 注入问题

sqlite 单引号写入 写不进去 写成双引号 导致字符串json 转对象报错的问题

之前做法:

将sqlite 语句中的单引号语句 全部替换成 双引号 直接执行插入sqlite 语句 解决了 sql注入的问题 但是也引入了新的问题 插入进sqlite中的数据中的单引号插入进 变成了双引号

解决办法:

将语句中的单引号 改成两个单引号 插入进sqlite 中 自动变成一个单引号了 插入进sqlite中的数据就是一个单引号了

解决了 sql 注入的问题 单引号影响sql语句 也解决了 单引号无法插入的问题

其他办法:

拼接sql 时 改成这种格式

“INSERT INTO xxx (col1,col2,col3…) VALUES (?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?);”

Owen_Number_One
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQLite注入记录(目前最全、核心函数用法、布尔盲注、时间盲注、webshell、动态库,绕过方式)
墨痕诉清风的博客
02-28 2410
为了方便开发者可以很轻便的扩展功能,SQLite 从 3.3.6 版本开始提供了支持扩展的能力,通过sqlite_load_extension API(或者 load_extension 函数 ),开发者可以在不改动 SQLite 源码的情况下,通过动态加载的库(so/dll/dylib)来扩展 SQLite 的能力。SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库,使用该命令后,所有的 SQLite 语句将在附加的数据库下执行。执行 payload 后将有一段时间的延时。
【攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1320
题目 ---- FlatScience 一、writeup 二、知识点
sqlite字符串含有单引号的处理
诚的博客
05-27 2690
SQLite插入有单引号(')的字符串 使用双单引号即可,例如: sql> INSERT INTO xyz VALUES('5 O''clock'); 插入数据库的是:5 0'clock。 sqlite的标准还是用单引号来包装字符串sqlite语句里出现的字符串就得做自己做replace("'","''")处理 ...
SQLite 数据库注入总结
HBohan的博客
10-09 6279
前言 SQLite 是一个进程内的库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。它是一个零配置的数据库,这意味着与其他数据库不一样,您不需要在系统中配置。SQLite 与 MySQL 还是有些区别的,SQLite 直接读写普通磁盘文件,每一个数据库就是一个文件,可以按应用程序需求进行静态或动态连接其存储文件进行数据操作。 SQLite 基础 在本篇文章中我们使用 SQLite3 来学习,SQLite3 的语法与 MySQL 相似。详细语法可以在这里学习:https://www.r
sqlite注入总结
最新发布
2201_75824562的博客
05-31 820
一份简单的sqlite注入总结
Sqlite插入单引号和双引号,防止sql注入
-凌凌漆-的博客
04-02 796
1. 方法 sqlite3_mprintf替换sprintf, '%q'替换'%s'. 2. 举例 修改前代码 //修改前, hello'123写入失败 char sql[1000] char* sql = sprintf("UPDATE table SET name = '%s' WHERE name_id = %d", "hello'123", 1); rc = sqlite3_exec(db, sql, NULL, NULL, &err
SQLite】如何插入有单引号(')的字符串
editkiller的专栏
01-14 7721
在保存文本时,有时会提示出错,有可能是文本中含有单引号,那如何插入有单引号(')的字符串? 将所有单引号替换为两个单引号,保存到SQLite数据库中时自动恢复为单引号,也就是说使用双单引号即可,例如: INSERT INTO xyz VALUES('5 O''clock'); 插入数据库的是:5 0'clock。
数据库插入带引号字符串
lmmmmmmmmmmmmmmm的博客
03-30 5113
//s是要插入的字符串 s = s.replaceAll("\"","\\\\\\\"");
Android SQLite储存单引号出错的解决方法
热门推荐
HardProgrammer的博客
03-23 1万+
2021-03-23 18:27:53.473 28763-28982/? E/SQLiteLog: (1) near "k1": syntax error --------- beginning of crash 2021-03-23 18:27:53.475 28763-28982/? E/AndroidRuntime: FATAL EXCEPTION: randomShelfUploadTimer Process: com.aplus.goodsshelves, P...
SQLite手工注入Getshell技巧.pdf
03-19
SQLite手工注入Getshell技巧.pdf
SQLlite注入
m0_55563900的博客
04-04 416
东塔学院 SQLlite注入sqlite_version()查看数据库版本 select group_concat(tbl_name) from sqlite_master where type=‘table’ 查表名 select sql from sqlite_master where type=‘table’ and sql not null and name not like ‘sqlite_%’ 查当前表的字段 union select flag from flag 爆制定字段
SQLite 注入
12-16
SQLite 注入 如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。 注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉中在数据库上运行。 永远不要相信用户提供的数据,所以只处理通过验证的数据,这项规则是通过模式匹配来完成的。在下面的实例中,用户名 username 被限制为字母数字字符或者下划线,长度必须在 8 到 20 个字符之间 – 请根据需要修改这些规则。 if
数据库SQL、SQLite语句单引号、双引号的用法
weixin_33901641的博客
05-23 853
最近编程操作数据库语句的时候出现一些问题。 关于Insert字符串 ,在(单引号,双引号)这个方面发生了问题,其实主要是因为数据类型和变量在作怪。 下面我们就分别讲述,虽然说的是Insert语句, 但是Select、Update、Delete语句都是一样的。 假如有下述表格: mytabe 字段1 username ...
sqlite单引号的处理
大爱无疆的博客
10-31 2371
insert into drink_info(drink_name)values('it''s nice'); 两个单引号代替一个单引号
sqlite中默认字符串单引号刮起来, 而不是双引号
dadalan的专栏
06-04 5156
strSql = [ NSString stringWithCString:"create table PFUserBlackList /   ( address text primary key  not null unique /   , data integer default(0) /   , origin
常用数据库2 sqlite及SQL注入
weixin_33836874的博客
06-28 1323
知识内容: 1.sqlite数据库介绍 2.sqlite数据库操作 3.SQL注入 一、sqlite数据库介绍 1.sqlite数据库 sqlite数据库:轻量级的数据库,一般开发中使用sqlite数据库,上线后将sqlite数据库换成其他数据库(比如MySQL、MongoDB)来进行快速开发 sqlite数据库操作相对来说比较简单,sqlite是python3中...
SQL注入这个坑
阴山隐修者
01-09 1942
SQL注入是一个老话题,没想到今天有同事在android framework踩到了这个坑,mark下。 业务需求要修改查询mmssms.db的一张表canonical_addresses,看到代码有点懵圈,类似如下: ContentResolver cr = this.getContentResolver(); Curso
sqlite3中单引号
05-21
SQLite3 中,单引号用于表示字符串字面值。当在 SQL 语句中使用字符串时,必须将其放在单引号中,例如: ``` INSERT INTO users (name, age) VALUES ('John Doe', 30); ``` 这将向名为 "users" 的表中插入一行数据,其中 "name" 列的值为 "John Doe","age" 列的值为 30。 需要注意的是,如果字符串本身包含单引号,则需要使用两个单引号来进行转义,例如: ``` INSERT INTO users (name, age) VALUES ('Mary O''Connell', 25); ``` 这将向名为 "users" 的表中插入一行数据,其中 "name" 列的值为 "Mary O'Connell","age" 列的值为 25。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Owen_Number_One

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值