防SQL注入

最新推荐文章于 2024-09-15 23:28:35 发布
最新推荐文章于 2024-09-15 23:28:35 发布
阅读量575 收藏 1
点赞数
分类专栏: SQL注入 文章标签: sql string table insert delete application
protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        //SQL防注入
        string Sql_1 = "exec |insert+ |select+ |delete |update |count |chr |mid |master+ |truncate |char |declare |drop+ |drop+table |creat+ |creat+table";
        string Sql_2 = "exec+ |insert+ |delete+ |update+ |count( |count+ |chr+ |+mid( |+mid+ |+master+ |truncate+ |char+ |+char( |declare+ |drop+ |creat+ |drop+table |creat+table";
        string[] sql_c = Sql_1.Split(' |');
        string[] sql_c1 = Sql_2.Split(' |');

        if (Request.QueryString != null)
        {
            foreach (string sl in sql_c)
            {
                if (Request.QueryString.ToString().ToLower().IndexOf(sl.Trim()) >= 0)
                {
                    Response.Write("警告!你的IP已经被记录!");//
                    Response.Write(sl);
                    Response.Write(Request.QueryString.ToString());
                    Response.End();
                    break;
                }
            }
        }

        if (Request.Form.Count > 0)
        {
            string s1 = Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称
            if (Request.ServerVariables["HTTP_REFERER"] != null)
            {
                string s2 = Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称
                string s3 = "";
                if (s1.Length > (s2.Length - 7))
                {
                    s3 = s2.Substring(7);
                }
                else
                {
                    s3 = s2.Substring(7, s1.Length);
                }
                if (s3 != s1)
                {
                    Response.Write("你的IP已被记录!警告!");//
                    Response.End();
                }
            }
        }
    }



Request.ServerVariables("HTTP_REFERER")

下列情况是从浏览器的地址栏正常取得Request.ServerVariables("HTTP_REFERER")的:
1.直接用<a href>
2.用Submit或<input type=image>提交的表单(POST or GET)
3.使用Jscript提交的表单(POST or GET)

下面我们再看看Request.ServerVariables("HTTP_REFERER")不能正常取值的情况:
1.从收藏夹链接
2.单击/''/''主页/''/''或者自定义的地址
3.利用Jscript的location.href or location.replace()
4.在浏览器直接输入地址
5.<%Response.Redirect%>
6.<%Response.AddHeader%>或<meta http-equiv=refresh>转向
7.用XML加载地址

显然,Request.ServerVariables("HTTP_REFERER")在多数情况下是不能正常工作的
public static string RemoveUnsafeHtml(string content)
        {
            content = Regex.Replace(content, @"(/ < |/s+)o([a-z]+/s?=)", "$1$2", RegexOptions.IgnoreCase);
            content = Regex.Replace(content, @"(script |frame |form |meta |behavior |style)([/s |: |>])+", "$1.$2", RegexOptions.IgnoreCase);
            return content;
        }

//检测是否是安全的sql字符串
public static bool IsSafeSqlString(string str)
        {

            return !(Regex.IsMatch(str, @"[- | |, |// |/( |/) |/[ |/] |/} |/{ |% |@ |/* |! |/']", RegexOptions.IgnoreCase) | | Regex.IsMatch(str, @"/s+exec(/s |/+)+(s |x)p/w+", RegexOptions.IgnoreCase));
        }

        // 过滤非法字符(防止sql注入)

        public static string SqlFilter(string sql)
        {
            if (!IsNullOrEmpty(sql) | | !IsSafeSqlString(sql))
            {
                string pattern = @"(/%27) |(/') |(/-/-)";
                string str2 = @"((/%27) |(/'))/s*((/%6F) |o |(/%4F))((/%72) |r |(/%52))";
                string str3 = @"/s+exec(/s |/+)+(s |x)p/w+";
                sql = Regex.Replace(sql, pattern, string.Empty, RegexOptions.IgnoreCase);
                sql = Regex.Replace(sql, str2, string.Empty, RegexOptions.IgnoreCase);
                sql = Regex.Replace(sql, str3, string.Empty, RegexOptions.IgnoreCase);
            }
            return sql;
        }
yunduan
关注
专栏目录
sql注入
wangdaxu332的专栏
03-26 3770
常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOS限于篇幅,本篇只讨论SQL注入攻击的技巧与范。SQL注入常见攻击技巧SQL注入攻击是Web安全史上的一个重要里程碑,它从1999年首次进入人们的视线,至今已经有十几年的历史了,虽然我们现在已经...
sql注入
jingYang07的博客
04-23 872
import org.owasp.esapi.ESAPI; import org.owasp.esapi.Encoder; import org.owasp.esapi.codecs.Codec; import org.owasp.esapi.codecs.MySQLCodec; import org.owasp.esapi.errors.EncodingException; import or...
检测是否有Sql危险字符
希望能找到你的答案
03-05 12万+
#region IsSafeSqlString 检测是否有Sql危险字符 /// &lt;summary&gt; /// 检测是否有Sql危险字符 /// &lt;/summary&gt; /// &lt;param name="targetString"&gt;目标字符串&lt;/param&gt; ...
PHPSQL注入代码,PHP 预CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2469
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
前端参数效验sql注入的方法
weixin_43578304的博客
11-17 1830
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。
检验危险字符串 SQL注入
享耳三羊
11-12 3708
#region 检查危险字符         ///         /// 检查危险字符         ///         ///         ///         public static string Filter(string sInput)         {             if (sInput == null || sInput == "
C#检测是否有Sql危险字符
我笔记
01-29 588
///     /// 检测是否有Sql危险字符    ///     /// "str">要判断字符串    /// 判断结果    public bool IsSafeSqlString(string str)    {        string sInput1 = str.ToLower();        return !Regex.IsMatch(sInput1, @"[-|;|,|\
SQL注入原理以及Spring Boot如何SQL注入(含详细示例代码)
12-29
SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
有效SQL注入的5种方法总结
09-09
以下是对SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
ASP.NETSQL注入的方法示例
01-20
为了SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
360提供的phpsql注入代码修改类
05-02
为了SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
C#SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全... C#SQL注入方法一  在Web.config文件中
C#一些验证方法
热门推荐
希望能找到你的答案
03-04 13万+
#region IsSafeSqlString 检测是否有Sql危险字符         ///         /// 检测是否有Sql危险字符         ///         /// 目标字符串         /// 是则返加true 不是则返回 false         public static bool IsSafeSqlString(string targe
判断SQL注入的字符
天生我材必有用,千金散尽还复来
06-08 382
判断SQL注入的字符 [code="java"] public static boolean sql_Injection(String str) { String inj_str = "' and exec insert select delete update" + " count * % chr mid master truncate char declare ; o...
sqlalchemy JSON 字段写入时中文序列化问题
llc的博客
09-12 299
_table_args__ = ({"comment": "表名称"})...extra = Column(JSON, comment="其他属性")...
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》
beingstrong的博客
09-15 592
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》详细笔记
SQL(结构性查询语句)
2301_78693337的博客
09-11 444
以上就是今天要讲的内容,本文介绍了基础的SQL语法使用,而sql还提供了大量能使我们快速便捷地处理数据的函数和方法等着我们探索。
SpringBlade dict-biz/list 接口 SQL 注入漏洞
最新发布
为了低调的博客
09-15 272
在 SpringBlade 框架中,如果接口的后台处理逻辑没有正确地对用户输入进行过滤或参数化查询(Prepared Statements),那么可能会存在 SQL 注入的漏洞。SQL 注入是一种安全漏洞,攻击者可以利用它向应用程序的数据库查询中插入或“注入”恶意的 SQL 代码片段。
大数据-132 - Flink SQL 基本介绍 与 HelloWorld案例
永远好奇,无限进步!
09-12 2244
Flink SQL 是 Apache Flink 提供的一种高层次的查询语言接口,它基于 SQL 标准,为开发者提供了处理流式数据和批处理数据的能力。Flink SQL 允许用户使用标准 SQL 查询语言在数据流和数据表上执行复杂的操作,适用于多种应用场景,如实时分析、数据流处理、机器学习等。Flink SQL 的一大特点是流处理和批处理的统一性。通过同一套 SQL 语法,用户可以同时处理静态数据(批处理)和动态数据(流处理)。这使得应用程序的开发更加简化,因为可以用相同的逻辑编写实时流数据处理和历史数据的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值