C++ 简单的SQL注入过滤

最新推荐文章于 2024-01-14 14:17:33 发布
最新推荐文章于 2024-01-14 14:17:33 发布
阅读量3k 收藏 5
点赞数 1
分类专栏: Network
原文链接:https://www.cnblogs.com/lee-li/p/8669302.html
版权

前几天帮一个客户写了一个C++连接MySQL,当他用到他的游戏中后,被人注射了,用了一个永真式,无限的刷了游戏装备
所以,我针对参数和整体SQL语句写了两个简单的函数,进行简单的过滤。

bool CheckSQL(string sql)
{
    string key[9] = { "%","/","union","|","&","^" ,"#","/*","*/"};
    for (int i = 0; i < 9; i++)
    {
        if (sql.find(key[i]) != string::npos)
        {
            return false;
        }
    }
    return true;
}

bool CheckParameter(string Parameter)
{
    string key[14] = {"and","*","="," ","%0a","%","/","union","|","&","^" ,"#","/*","*/" };
    for (int i = 0; i < 14; i++)
    {
        if (Parameter.find(key[i]) != string::npos)
        {
            return false;
        }
    }
    return true;
}
xupeng1644
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++面试:SQL注入、web shell攻击的危害和规避方法
Bobowen的博客
02-21 1083
SQL注入和Web Shell攻击是两种常见的网络安全威胁,它们可以对系统造成严重的危害。了解它们的工作原理、危害以及如何规避是网络安全防护的基本要求。下面将详细介绍这两种攻击的基础知识、危害和规避方法。
c/c++ sql防注入
qixiang2013的专栏
03-29 1728
MySQL 支持两种转义模式: ANSI_QUOTESSQL 模式,以及关闭此功能的模式,我们称之为 MySQL模式。 ANSI SQL模式:简单地用(两个单勾)编码所有'(单勾)字符'' MySQL模式,请执行以下操作: NUL (0x00) --> \0 [This is a zero, not the letter O] BS (0x08) --> \b TAB (0x09) --> \t LF (0x0a) --> \n CR (0x0d) -->
SQL防注入代码实现
lujunxuanlujunxuan的博客
04-09 478
SQL防注入代码实现
C++ 输入用户名和密码 防止注入攻击
最新发布
wjl990316fddwjl的博客
01-14 637
在Linux下,也攻击成功了,十分危险。不可以有'',不可以有= 不可以有)2.3检查用户的输入。
MySQL 防注入及单引号/双引号处理(C++)
heyuye110
03-03 992
1.介绍 官网: https://tangentsoft.com/mysqlpp/home mysql++, 也叫 mysqlpp,是把MySQL提供的C库的一个C++封装库,用标准 STL 编写,并提供像操作STL容器一样方便的操作数据库的一套机制。其中的 SSQL标准提供了与 Hibernate 相同的封装思想,使 Table 与 Class 可以做 一 一映射,以实现像STL一样方便的操作数据表。 2.安装 # 报错: /usr/bin/ld: cannot find -lmysqlpp # 解决
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
有效防止SQL注入的5种方法总结
09-09
对用户输入进行严格的验证和过滤,可以阻止大部分的SQL注入尝试。可以使用正则表达式检查输入是否包含SQL特殊字符,例如单引号(')、双引号(")、分号(;)、减号(-)等。例如: ```java String regex = "^(.+)\\sand\...
SQL.rar_sql injection_sql 注入_sql注入
09-14
在"SQL.rar"中,我们看到与SQL注入相关的资源,包括一个名为"SQL.cpp"的C++源代码文件,这可能是用于模拟或测试SQL注入漏洞的程序。 SQL注入攻击的基本原理是利用用户输入的数据直接拼接到SQL查询中,如果输入未经...
SQL 防注入代码全集
10-09
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。本资源"SQL 防注入代码全集"提供了多种编程语言(如ASP和C#)的防御策略,帮助开发者保护其应用程序...
第一节 SQL注入的原理-01
09-15
SQL注入是一种常见的Web应用安全漏洞,发生在Web应用程序使用用户输入数据构造SQL语句时,没有正确地对用户输入进行过滤和转义,导致攻击者可以 inject 恶意SQL代码,访问、修改或控制敏感数据。 解释型语言和编译...
CI(CodeIgniter)框架中URL特殊字符处理与SQL注入隐患分析
10-17
总的来说,CI框架通过内置的过滤和转义机制为URL特殊字符处理和SQL注入提供了防护,但开发者必须了解这些机制的限制并采取额外的预防措施。遵循最佳实践,如使用AR类进行查询,避免直接拼接SQL语句,以及对用户输入...
c语言sql注入,C/C++知识点之[C++]简单SQL注入过滤
weixin_33980343的博客
05-24 716
本文主要向大家介绍了 C/C++知识点之[C++]简单SQL注入过滤,通过具体的内容向大家展示,希望对大家学习C/C++知识点有所帮助。前几天帮一个客户写了一个C++连接MySQL,当他用到他的游戏中后,被人注射了,用了一个永真式,无限的刷了游戏装备所以,我针对参数和整体SQL语句写了两个简单的函数,进行简单过滤boolCheckSQL(stringsql){stringkey[9]=...
c语言sql注入,最详细的SQL注入语句
weixin_35985162的博客
05-24 849
最详细的SQL注入语句相关的命令整理1、 用^转义字符来写ASP(一句话木马)文件的方法: http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^execute request^("l"^)^ >c:\mu.asp';-- echo ^ >c:\mu.asp2、...
[SQL] SQL注入
毛C毛Py的专栏
01-11 834
 1.判断有无注入点; and 1=1 and 1=2 2.猜表一般的表的名称无非是admin adminuser user pass password 等..and 0and 03.猜帐号数目 如果遇到0and 0and 14.猜解字段名称 在len( ) 括号里面加上我们想到的字段名称.and 1=(select count(*) from admin where le
c语言 防止sql注入,c#如何防止sql注入?
weixin_36360511的博客
05-24 1951
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入。下面我们给大家介绍C#防止sql注入的几种方法:方法一:在Web.config文件下面增加一个如下标签:< appSettings>< add key="safeParameters" value="OrderID-int32,Customer...
防止SQL注入的五种方法
热门推荐
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
防止SQL注入解决方案
attilax的专栏
06-05 8164
防止SQL注入解决方案 在人员开发培训要最好玉先这样实施安全流程,可最大可能的减少这方面的问题…… STEP1:在设计方案上,采用参数化查询,如以下为JAVA为例: String sql = "update  carinf set level_id=? where id=?"; PreparedStatement ps = con.prepareStatement(sql); ps.
C++ 使用ADO 防止SQL注入过滤的代码
05-30
下面是一个使用ADO防止SQL注入过滤C++代码示例: ```c++ #include <iostream> #include <string> #import "C:\Program Files\Common Files\System\ado\msado15.dll" no_namespace rename("EOF", "adoEOF") using namespace std; int main() { // 定义数据库连接 _ConnectionPtr pConn; _CommandPtr pCmd; _RecordsetPtr pRs; // 建立数据库连接 HRESULT hr = pConn.CreateInstance(__uuidof(Connection)); pConn->ConnectionString = "Provider=SQLOLEDB;Data Source=(local);Initial Catalog=your_database_name;User ID=your_username;Password=your_password;"; pConn->Open("", "", "", adConnectUnspecified); // 执行参数化查询 string username = "test' or 1=1 --"; string password = "123456"; string sql = "SELECT * FROM users WHERE username = ? AND password = ?"; hr = pCmd.CreateInstance(__uuidof(Command)); pCmd->ActiveConnection = pConn; pCmd->CommandText = sql.c_str(); pCmd->CommandType = adCmdText; pCmd->Parameters->Append(pCmd->CreateParameter("param1", adVarChar, adParamInput, username.length(), username.c_str())); pCmd->Parameters->Append(pCmd->CreateParameter("param2", adVarChar, adParamInput, password.length(), password.c_str())); pRs = pCmd->Execute(NULL, NULL, adCmdText); // 处理查询结果 if (!pRs->adoEOF) { while (!pRs->adoEOF) { string username = (char*)(_bstr_t)pRs->Fields->GetItem("username")->Value; string password = (char*)(_bstr_t)pRs->Fields->GetItem("password")->Value; cout << "username: " << username << ", password: " << password << endl; pRs->MoveNext(); } } // 释放连接和语句句柄 pRs->Close(); pCmd->Release(); pConn->Close(); pConn.Release(); return 0; } ``` 上述代码中,使用了ADO的_CommandPtr和_RecordsetPtr对象,通过CreateParameter函数来实现参数化查询,将用户输入的数据和SQL语句分开处理,从而避免了SQL注入攻击。同时,代码中也使用了_bstr_t类型来将COM VARIANT类型的数据转换为字符串类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值