防止sql注入

最新推荐文章于 2024-09-14 18:42:05 发布
最新推荐文章于 2024-09-14 18:42:05 发布
阅读量1k 收藏
点赞数
分类专栏: web 文章标签: sql 数据库 function asp 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yesdog/article/details/536240
版权

培养好的代码习惯除了书写规范外,也应考虑到代码的健壮型,安全性。

知道sql注入已有一年了,但是都是懵懵懂懂的,今天看了篇文章,通过ms sql查询分析器测试了下,清楚了些。代码的编写应该注意以下几点:

1.数据库链接不要使用sa,建一个针对该程序的数据库帐号,只赋予本数据库的管理权限。

2.对于数字型传递参数,做isnumeric()判断;

3.对于字符型传递参数,做对'单引号的替换;

4.用get方法传递的参数一定检查,用post传递的参数加上request.form("");

5.代替ASP中的Request函数

  Function SafeRequest(ParaName,ParaType)
   '--- 传入参数 ---
   'ParaName:参数名称-字符型
   'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符) 

   Dim ParaValue
   ParaValue=Request(ParaName)
   If ParaType=1 then
   If not isNumeric(ParaValue) then
   Response.write "参数" & ParaName & "必须为数字型!"
   Response.end
   End if
   Else
   ParaValue=replace(ParaValue,"'","''")
   End if
   SafeRequest=ParaValue
  End function 

yesdog
关注
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
一天一道CTF 第四天(sql绕过||)
scrawman的博客
03-03 331
[极客大挑战 2019]Havefun 点进去以后是一只猫猫,鼠标点上去还有交互,给劳累的程序员带去了心灵上的慰藉 我能点一上午 右键查看网页源代码,前面都是幌子,真正有用的代码只有 <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } --> 提示我们要用Get方式提交cat的
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤防止SQL注入
09-15
C# MVC 过滤防止SQL注入
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
asp错误代码大全
yesdog的专栏
12-08 2307
本文包含处理ActiveServerPages(ASP)页面时可能返回的ASP错误代码的列表。根据您所使用的Internet信息服务(IIS)版本的不同,该列表可能会有所不同。ASP0100内存不足ASP0101意外错误ASP0102需要字符串输入ASP0103需要数字输入ASP0104不允许此项操作ASP0105下标越界ASP0106类型不匹配ASP0107堆栈溢
初识客户端和服务器端
yesdog的专栏
11-07 1268
    每天打开csdn,都先进入扩充话题,看看有什么好笑的帖子没,嘿嘿。    也有励志型的帖子,比如成长的话题,每天的学习安排等等,给自己一个提醒。不管从事什么,每天都得坚持好得学习习惯,锻炼习惯,不断前进。    这几天最大得一个收获,应该是分清了客户端和服务器端得概念,准确得说有个比较浅的理解。客户端就是客户机,用户在客户端上对页面进行操作,比如填写数据等;服务器端是远程服务器,在客户机提
配置单
yesdog的专栏
12-06 934
CPU:Celeron D 2.13G 散+风扇 376+30主板:INTEL BOXD845GVSRL I865GV/Socket 478 455内存:KingSton 512M 380显卡:蓝宝石ATI Radeon9550/128M/128bit白金版 5
静下心学习
yesdog的专栏
11-30 904
     突然发现目前做这个平台很多东西要学。以前太浮躁了,只知道需要学习却不知道切入点在哪。今天发现了好几个地方。    只有静下心来看这个平台,慢慢把框架想一遍,才能意识到其中优秀的地方。    好记性不如烂笔头,采取把代码中没遇到或我还很模糊的知识点都记下来,然后自己写一遍的方法来学习,我想效果一定不错。    加油!
javascript学习点滴
yesdog的专栏
11-28 710
1.后缀参数:)">删除function del(id){   if (confirm("确定删除该条信息吗?/n/n?"))    {   form1.action="Delasp?ID="+id      form1.submit();     }}
sqlalchemy JSON 字段写入时中文序列化问题
llc的博客
09-12 363
_table_args__ = ({"comment": "表名称"})...extra = Column(JSON, comment="其他属性")...
经典sql题(一)求连续登录不少于三天用户
最新发布
m0_58076578的博客
09-14 797
去重提取日期查询:提取每个用户的唯一登录日期。结果表table1:显示每个用户的唯一日期。为每个用户生成序列号查询:为每个用户的日期生成序号,并计算date2。结果表table2:显示用户的日期和对应的date2。步骤使用函数,按照日期顺序为每个用户的登录日期分配一个序号。例如,对于用户 ID = 1,假设他们的日期是2023-10-012023-10-02和2023-10-03将为它们生成序号 1、2 和 3。date2是通过将每个日期减去它的序号得到的。这个操作的目的是为了检测连续的日期。
大数据-132 - Flink SQL 基本介绍 与 HelloWorld案例
永远好奇,无限进步!
09-12 2385
Flink SQL 是 Apache Flink 提供的一种高层次的查询语言接口,它基于 SQL 标准,为开发者提供了处理流式数据和批处理数据的能力。Flink SQL 允许用户使用标准 SQL 查询语言在数据流和数据表上执行复杂的操作,适用于多种应用场景,如实时分析、数据流处理、机器学习等。Flink SQL 的一大特点是流处理和批处理的统一性。通过同一套 SQL 语法,用户可以同时处理静态数据(批处理)和动态数据(流处理)。这使得应用程序的开发更加简化,因为可以用相同的逻辑编写实时流数据处理和历史数据的
CISP-PTE CMS sqlgun靶场
2301_81525518的博客
09-13 574
输入 -1' union select 1,2,3# 有回显可以查看数据库sql靶场有个搜索框先点一下go,有回显说明存在漏洞。查询它的数据这里admin用户的密码是md5加密。有个phpinfo.php点进去可以看到路径。然后扫描ip目录发现没有后台登录的地方。然后在这里尝试sql注入。来到根目录有个flag。然后查询数据库,用户。
sqlgun靶场漏洞挖掘
A2893992091的博客
09-13 202
找了半天,没有找到管理员登录界面,所以找到管理员账号和密码没有用,虽然没有,但是证明了一点,那就是此处可以无限制输入命令,并执行,通过扫描目录发现存在phpinfo文件,访问得知网站绝对路径。于是乎,尝试使用sql注入的方式,上传一句话木马。搜索框输入以下代码,验证是否存在xss漏洞。写入成功,蚁剑连接大脑,cmd代替思考。此处密码为MD5加密,解码内容如下。经过测试,输入框存在SQL注入漏洞。根据设定的地址访问上传的文件。OK了,存在xss漏洞。
Sybase「退役」在即,某公共卫生机构如何实现 SAP Sybase 到 PostgreSQL 的持续、无缝数据迁移?
Tapdata 技术博客
09-13 1010
Sybase 暂停维护在即,某公共卫生机构提出了将其关键业务数据从中平稳迁移到 PostgreSQL 的需求。该如何安全、高效实现?
【乐吾乐大屏可视化组态编辑器】API接口文档(pgsql
le5le_iot的博客
09-13 1061
采用前后端分离架构,乐吾乐后端服务提供一整套完整的web组态编辑器的所有数据接口,包含2D/3D图纸接口服务、文件接口服务和用户接口服务等,安装包版本提供后端可执行程序文件,后端源码版提供Java源码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值