防SQL注入验证处理

最新推荐文章于 2024-04-08 10:02:51 发布
最新推荐文章于 2024-04-08 10:02:51 发布
阅读量539 收藏
点赞数
分类专栏: .Net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yax405/article/details/9368739
版权
#region 防SQL注入及页面输出内容验证处理 
        /// <summary>
        ///替换单引号
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string FormatSQLParamSign(string str)
        {
            StringBuilder sb = new StringBuilder(str.Trim());
            sb.Replace("'", "''");
            return sb.ToString();
        }
        public static readonly string blackwords = ";|and|exec|insert|select|delete|update|*|%|chr|mid|master|truncate|char|declare|drop table|xp_cmdshell|netlocalgroup|administrators|net user";
        /// <summary>
        ///拼接sql字符串条件时,替换特殊字符,如'- |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string FormatSQLParam(string str)
        {
            StringBuilder sb = new StringBuilder(str.Trim());
            sb.Replace("'", "''");
            string[] BlackList = blackwords.Split('|');
            for (int i = 0; i < BlackList.Length; i++)
            {
                sb.Replace(BlackList[i], "");
            }
            return sb.ToString();
        }
        /// <summary>
        /// 对Like 条件的特殊字符进行处理 % [ _ ^ '等
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string FormatSQLLikeParam(string str)
        {
            StringBuilder sb = new StringBuilder(str.Trim());
            sb.Replace("'", "''").Replace("[", "[[]").Replace("%", "[%]").Replace("_", "[_]").Replace("^", "[^]");
            return sb.ToString();
        }

SQL Server查询中的特殊字符处理
我们都知道SQL Server查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。
但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。
其用途如下:
下划线:用于代替一个任意字符(相当于正则表达式中的 ? )
百分号:用于代替任意数目的任意字符(相当于正则表达式中的 * )
方括号:用于转义(事实上只有左方括号用于转义,右方括号使用最近优先原则匹配最近的左方括号)
尖号:用于排除一些字符进行匹配(这个与正则表达式中的一样)
以下是一些匹配的举例,需要说明的是,只有like操作才有这些特殊字符,=操作是没有的。
a_b...        a[_]b%
a%b...       a[%]b%
a[b...       a[[]b%
a]b...       a]b%
a[]b...      a[[]]b%
a[^]b...     a[[][^]]b%
a[^^]b...    a[[][^][^]]b%
在实际进行处理的时候,对于=操作,我们一般只需要如此替换:
' -> ''
对于like操作,需要进行以下替换(注意顺序也很重要)
[ -> [[]     (这个必须是第一个替换的!!)
% -> [%]    (这里%是指希望匹配的字符本身包括的%而不是专门用于匹配的通配符)
_ -> [_]
^ -> [^]
对于xss攻击可以试着用一下微软的组件
AntiXssLibraryV1.5Installer.msi
查一下就可以
浅析XSS(Cross Site Script)漏洞原理

------原文地址:http://hi.baidu.com/freezesoul/blog/item/740840a99bece5fb1f17a27b.html

一个热爱bug的程序猿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#SQL注入代码的三种方法
09-04
在C#中,防止SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接使用字符串拼接构建SQL语句是最容易导致SQL注入的方式。开发者应该避免这种做法,转而使用参数化查询。例如,使用`SqlCommand`对象的`...
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
防止xss和sql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
SQL注入及页面输出内容验证处理-转
weixin_30262255的博客
04-20 106
#region SQL注入及页面输出内容验证处理 /// <summary> ///替换单引号 /// </summary> /// <param name="str"></param> /// <returns></returns> public st...
JSP使用过滤器防止SQL注入
weixin_30776545的博客
05-29 122
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行S...
防止sql注入
热门推荐
qq_20729891的博客
08-14 2万+
在登录的时候,前台一般是注册后再登录,而后台管理员不一样,管理员不是注册的,而是超管添的。利用sql注入可以完美的登录后台进行管理,做一些非法操作。为了防止这类人,必要的情况下做一些范措施 php各大框架一般在底层都把过滤机制写好了。 但是也得了解过滤的原理,以下为本人总结的防止sql注入的方法 1.前端正则过滤掉特殊字符。 2.后端再过滤一遍,正则、intval函数啥的都行(防止利用...
Sql注入
学无止境
04-04 103
select * from UserInfo where Name='1' or '1'='1' and Pwd='1' or '1'='1'登录名和密码输入1' or '1'='1会直接进入主窗体参数化SQL语句后就会防止这种情况string strSql = "SELECT ID FROM Admin WHERE Name=@Name and Pwd= @Pwd"; S...
360提供的phpsql注入代码修改类
05-02
为了防止SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
ASP.NET防止SQL注入的方法示例
01-20
本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接将用户提供的输入拼接到SQL查询中时发生的一种攻击。攻击者可以通过在表单字段、URL参数等处插入...
防止SQL注入
u014644574的博客
04-27 2000
防止SQL注入
前端参数效验防止sql注入的方法
weixin_43578304的博客
11-17 1734
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。
如何防止SQL注入
qq_46130027的博客
06-04 929
防止SQL注入攻击是保护Web应用程序安全的重要步骤之一。以下是一些常见的防止SQL注入攻击的方法。综合使用参数化查询预编译语句,输入验证和过滤、最小验证和过滤、最小权限原则以及避免动态拼接SQL语句等措施,可以有效地防止SQL注入攻击。然而,安全是一个不断发展的领域,因为定期评估和改进应用程序的安全性也是非常重要的。
如何防止sql注入
jkwanga的博客
04-11 1839
什么是SQL注入SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中 最普遍的漏洞之一。 例如:某学长通过攻击学校数据库修改自己成绩,一般用的就是SQL注入方法。 原因总结: 对sql语句和关键字未进行过滤 当前端传过来的数据进入到后端进行处理时,没做严格的判断,导致其传入的‘数据(含有sql关键字)’ 在拼接sql语句中 由于其特殊性,被当作sql语句的一部分被执行,导致数据库受损(修改,删除等) 防止方法: 过滤掉关键字:select、insert、update、delete
前端sql 注入正则替换
qq_35371821的博客
05-11 938
export default (data) => { let obj = typeof data == 'object' ? data : JSON.parse(data) Object.keys(obj).forEach(item => { if (/keyword/i.test(item)) { if (!obj[item]) { return } const i = /select|update|delete|trunca
防止sql注入有哪些方法
liuguoxin_1996的博客
01-17 802
使用参数化查询:参数化查询是将用户输入的参数与查询语句分离,参数化查询会将用户输入的参数作为查询的参数,而不是将用户输入的参数直接拼接到查询语句中。这样可以有效地防止SQL注入攻击。综上所述,通过参数化查询、输入验证和过滤、使用ORM框架、最小权限原则、日志记录和监控、定期更新和维护以及密敏感数据等方法,可以有效地防止SQL注入攻击。使用ORM框架:ORM框架(对象关系映射)可以将数据库操作转换为对象操作,ORM框架内部会对用户输入的数据进行处理和过滤,从而减少SQL注入的风险。
sql注入基础-如何判断 Sql 注入点+实例说明
m0_60884805的博客
10-11 6994
可能存在注入的url形式:http://xxx.xxx.xxx/abcd.php?id=XXX判断sql注入:1.判断此url是否存在sql注入2.若存在sql注入,属于那种? 数字型判断: 可以使用经典的 and 1=1 和 and 1=2 来判断. url中输入?id=1 and 1=1 页面依旧正常运行,继续下一步. url中输入?id=1 and 1=2 页面运行错误,则说明此 Sql 注入为数字型注入。
常见确认 SQL 注入漏洞方法总结
最新发布
Flag少侠的博客
04-08 1912
识别漏洞只是目标的一部分。最终目标是利用所测试应用中出现的漏洞。要实现该目标,您需要构造一条有效的SOL请求,它会在远程数据库中执行且不会引发任何错误。
SQL注入基础
屿的博客
02-14 4452
各位靓仔们是否经常听到sql注入呢,那么什么是sql注入?引用微软官方的语言来说:SQL 注入是一种攻击方式,在这种攻击方式中,在字符串中插入恶意代码,然后将该字符串传递到 SQL Server 的实例以进行分析和执行。构成 SQL 语句的任何过程都应进行注入漏洞审阅,因为 SQL Server 将执行其接收到的所有语法有效的查询。一个有经验的、坚定的攻击者甚至可以操作参数化数据。那么接下来,让我们来了解一下sql注入是如何产生的。
SQL注入:威胁详解与御策略
"SQL注入攻击与御" SQL注入是一种严重的网络安全问题,它允许恶意攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而操控数据库,获取敏感信息,甚至完全控制服务器。《SQL注入攻击与御》这本书深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值