sql注入过滤

最新推荐文章于 2024-04-30 04:08:20 发布
最新推荐文章于 2024-04-30 04:08:20 发布
阅读量526 收藏
点赞数
分类专栏: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzx_it/article/details/17436111
版权
    /// <summary>
    /// Sql过滤器
    /// </summary>
    public class SqlCleaner
    {
        private static List<string> injectWords = new List<string>();

        /// <summary>
        /// 静态构造函数
        /// </summary>
        static SqlCleaner()
        {
            #region 关键字(可任意变更,不区分大小写)
            injectWords.Add(@"add");
            injectWords.Add(@"procedure");
            injectWords.Add(@"alter");
            injectWords.Add(@"and");
            injectWords.Add(@"from");
            injectWords.Add(@"grant");
            injectWords.Add(@"right");
            injectWords.Add(@"having");
            injectWords.Add(@"in");
            injectWords.Add(@"select");
            injectWords.Add(@"inner");
            injectWords.Add(@"insert");
            injectWords.Add(@"into");
            injectWords.Add(@"join");
            injectWords.Add(@"left");
            injectWords.Add(@"create");
            injectWords.Add(@"like");
            injectWords.Add(@"table");
            injectWords.Add(@"not");
            injectWords.Add(@"database");
            injectWords.Add(@"truncate");
            injectWords.Add(@"delete");
            injectWords.Add(@"union");
            injectWords.Add(@"update");
            injectWords.Add(@"drop");
            injectWords.Add(@"or");
            injectWords.Add(@"where");
            injectWords.Add(@"exec");
            injectWords.Add(@"execute");
            injectWords.Add(@"exists");
            #endregion

            #region 符号(可任意变更,不区分大小写)
            injectWords.Add(@"--");
            injectWords.Add(@"+");
            injectWords.Add(@"-");
            injectWords.Add(@"*");
            injectWords.Add(@"=");
            #endregion
        }

        /// <summary>
        /// 过滤
        /// </summary>
        /// <param name="input">输入</param>
        /// <returns>输出</returns>
        public static string Clean(string input)
        {
            if (string.IsNullOrWhiteSpace(input))
            {
                return input;
            }
            injectWords.ForEach(injectWord =>
            {
                var startIndex = input.IndexOf(injectWord, StringComparison.CurrentCultureIgnoreCase);

                while (startIndex >= 0)
                {
                    input = input.Remove(startIndex, injectWord.Length);

                    startIndex = input.IndexOf(injectWord, StringComparison.CurrentCultureIgnoreCase);
                }
            });
            return input;
        }
    }
Hiirhan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入过滤字典.txt
10-15
sql注入过滤字典.txt
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1129
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
SQL注入(入门其二——过滤
qq_43520778的博客
09-06 1270
[toc]SQL注入
黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)
最新发布
2401_84253037的博客
04-30 790
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。在使用盲注的时候,需要使用到substr(),mid(),limit。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9533
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
SQL注入过滤
qq_33651286的博客
07-07 1832
SQL防注入过滤
sql注入漏洞
qz362228的博客
08-11 2500
sql注入漏洞原理,类型,防御方式,绕过技巧
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
sql注入过滤
04-16
sql注入过滤
基于SQL语法树的SQL注入过滤方法研究.pdf
09-19
本文提出的【基于SQL语法树的SQL注入过滤方法】引入了一种新的安全策略。这种方法首先将用户输入转化为SQL语法树结构,然后通过比较这个结构与预期的、安全的SQL语句结构,判断用户输入是否包含恶意成分。这种方法的...
sql注入Java过滤
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 705
Java项目防止SQL注入的几种方案
Web渗透(二)——SQL注入之绕过
qq_61562251的博客
12-14 909
在mysql查询可以使用distinct关键词去除查询的重复值,可以利用这点突破waf拦截。在mysql可以使用这里是反引号绕过一些waf拦截,字段可以加反引号或者不加,意义相同。针对后端语言对sql语句注入的过滤,所进行的绕过方法。11、PCRE绕过(运行大量字符)反引号前面不加空格也是可以的。1、关键字内联注释尝试绕所有。10、花括号{}绕过。
SQL过滤,防SQL注入
ugo
09-12 434
一般使用#{},但在使用Mybatis的语法写动态排序时,由于#{}会导致参数带上’',所以使用${},但是又怕sql注入的问题,将传入的参数,过滤后再拼接SQL,会更安全一些。
SQL注入遇到过滤,二次注入
qq_61412565的博客
08-13 1048
SQL注入总不能一帆风顺,对面有时候会有一些防御,过安全狗宝塔那些先且不谈,就是过滤注释符号的时候。(新注意到一个知识点,get传参有urf编码,而post没有)应对方法有:因为注释符不起效,所以灵活用or,构造 or '1' ='1,来把后面的’给过滤掉,(但这是知道靶场源码做出来的方式,实战怎么搞呢)。上面一步是默认把字符型数字型测出来了,那么要记得该测列数和回显位了(这里居然忘了该有这步,真是不器用),以前常规的做法是 and order by 1234,这样不停换数字看他报错的嘛。
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 825
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 954
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
sql--SQL注入过滤
VIP_CR的博客
08-08 706
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要进行过滤的字符串</param> /// <returns>如果参数存在不安全字符,则返回true</returns> public static bool SqlFilter2(string InText) ...
sql注入过滤如何实现
03-29
为了防止SQL注入攻击,可以采取以下几种过滤措施: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与用户输入的数据分开处理的方法。通过将用户输入的数据作为参数传递给预编译的SQL语句,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值