SQL关于特殊字符处理

最新推荐文章于 2024-07-29 09:01:51 发布
最新推荐文章于 2024-07-29 09:01:51 发布
阅读量1.4w 收藏 10
点赞数 1
分类专栏: 编程

原文地址:http://blog.csdn.net/yinjiabin/article/details/7590750

1、sql特殊字符带来的问题

在sql语句中,有些特殊字符,是sql保留的。比如 ' [ ]  等。我们可以先看看它们的用法。

当需要查询某数据时,加入条件语句,或着当你需要insert记录时,我们用  '  来将字符类型的数据引起来。比如:
Select * from Customers where City = 'London'

当表的名字或列的名字中,含有空格等一些特殊字符时,我们需要用[] 将表名引起来,告诉语法分析器,[]号内的才是一个完整的名称。比如

Select * from [Order Details]

如果,字符数据中,含有 '  改怎么办呢?其实,好多人在这里并没有处理字符川中 ' 符号,才造成sql 注射危险。就那上面的那个例子。在Sql语句拼接的时代,比如

string sql = "select * from Customers where CustomerID = '" + temp + "'";

如果,我给temp赋值为 Tom' or 1=1 ---  
那么你拼接起来的语句为 select * from Customers where CustomerID = 'Tom' or 1=1 --- '
哈哈,1=1 衡为真,---会把后面的sql语句注释掉。而前面因为有输入的 ' 而使的语句是合法的。那or的条件,会把所有的记录都选出来。这就是sql注入。在做用户登陆时,如果没有处理该问题,那你的系统受危害的可能性会很高的。
如何处理字符数据中的 ' 符号呢? 方法很简单,用两个 ' 符号代替一个。 比如,其实际传入的值为Lon'don,处理后为
Select * from Customers where City = 'Lon''don'
就可以了。

如果表或列的名称中含有 [ 或 ] 字符呢?比如Select * from [Order] Details],那中间 ] 符号岂不是先和第一个[ 配了。后面的就是非法的了。怎么办呢? 简单,使用 ]] 代替 ] 。对于[,则无须处理。那就该为
Select * from [Order]] Details]。 


2、解决方法(过滤sql特殊字符方法集合 )

 

1.
/// <summary>
    /// 过滤不安全的字符串
    /// </summary>
    /// <param name="Str"></param>
    /// <returns></returns>
    public static string FilteSQLStr(string Str)
    {

        Str = Str.Replace("'""");
        Str = Str.Replace("\"""");
        Str = Str.Replace("&""&amp");
        Str = Str.Replace("<""&lt");
        Str = Str.Replace(">""&gt");

        Str = Str.Replace("delete""");
        Str = Str.Replace("update""");
        Str = Str.Replace("insert""");

        return Str; 
    }

2.

#region 过滤 Sql 语句字符串中的注入脚本
        /// <summary>
        /// 过滤 Sql 语句字符串中的注入脚本
        /// </summary>
        /// <param name="source">传入的字符串</param>
        /// <returns>过滤后的字符串</returns>
        public static string SqlFilter(string source)
        {
            //单引号替换成两个单引号
            source = source.Replace("'""''");

            //半角封号替换为全角封号,防止多语句执行
            source = source.Replace(";""");

            //半角括号替换为全角括号
            source = source.Replace("(""");
            source = source.Replace(")""");

            ///要用正则表达式替换,防止字母大小写得情况////

            //去除执行存储过程的命令关键字
            source = source.Replace("Exec""");
            source = source.Replace("Execute""");

            //去除系统存储过程或扩展存储过程关键字
            source = source.Replace("xp_""x p_");
            source = source.Replace("sp_""s p_");

            //防止16进制注入
            source = source.Replace("0x""0 x");

            return source;
        }
        #endregion

3.

/// 过滤SQL字符。
        /// </summary>
        /// <param name="str">要过滤SQL字符的字符串。</param>
        /// <returns>已过滤掉SQL字符的字符串。</returns>
        public static string ReplaceSQLChar(string str)
        {
            if (str == String.Empty)
                return String.Empty; str = str.Replace("'""");
            str = str.Replace(";""");
            str = str.Replace(","",");
            str = str.Replace("?""?");
            str = str.Replace("<""");
            str = str.Replace(">""");
            str = str.Replace("(""(");
            str = str.Replace(")"")");
            str = str.Replace("@""");
            str = str.Replace("=""");
            str = str.Replace("+""");
            str = str.Replace("*""");
            str = str.Replace("&""");
            str = str.Replace("#""");
            str = str.Replace("%""");
            str = str.Replace("$""");

            return str;
        }
4.


/// <summary>
/// 过滤标记
/// </summary>
/// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param>
/// <returns>已经去除标记后的文字</returns>
public string NoHtml(string Htmlstring)
{
    if (Htmlstring == null)
    {
        return "";
    }
    else
    {
        //删除脚本
         Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>""", RegexOptions.IgnoreCase);
        //删除HTML
        Htmlstring = Regex.Replace(Htmlstring, @"<(.[^>]*)>""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"([\r\n])[\s]+""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"-->""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"<!--.*""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(quot|#34);""\"", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(amp|#38);""&", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(lt|#60);""<", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(gt|#62);"">", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(nbsp|#160);"" ", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(iexcl|#161);""\xa1", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(cent|#162);""\xa2", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(pound|#163);""\xa3", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(copy|#169);""\xa9", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&#(\d+);""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell""", RegexOptions.IgnoreCase);

        //删除与数据库相关的词
         Htmlstring = Regex.Replace(Htmlstring, "select""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "insert""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "delete from""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "count''""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "drop table""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "truncate""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "asc""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "mid""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "char""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "exec master""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "and""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net user""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "or""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net""", RegexOptions.IgnoreCase);
        //Htmlstring = Regex.Replace(Htmlstring, "*", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "-""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "delete""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "drop""", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "script""", RegexOptions.IgnoreCase);

        //特殊的字符
         Htmlstring = Htmlstring.Replace("<""");
        Htmlstring = Htmlstring.Replace(">""");
        Htmlstring = Htmlstring.Replace("*""");
        Htmlstring = Htmlstring.Replace("-""");
        Htmlstring = Htmlstring.Replace("?""");
        Htmlstring = Htmlstring.Replace("'""''");
        Htmlstring = Htmlstring.Replace(",""");
        Htmlstring = Htmlstring.Replace("/""");
        Htmlstring = Htmlstring.Replace(";""");
        Htmlstring = Htmlstring.Replace("*/""");
        Htmlstring = Htmlstring.Replace("\r\n""");
        Htmlstring = HttpContext.Current.Server.HtmlEncode(Htmlstring).Trim();

        return Htmlstring;
   }
}

5.

public static bool CheckBadWord(string str)
{
string pattern = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec   master|netlocalgroup administrators|net user|or|and";
if (Regex.IsMatch(str, pattern, RegexOptions.IgnoreCase))
return true;
return false;
}
public static string Filter(string str)
{
string[] pattern ={ "select""insert""delete""from""count\\(""drop table""update""truncate""asc\\(""mid\\(""char\\(""xp_cmdshell""exec   master""netlocalgroup administrators""net user""or","and" };
for (int i = 0; i < pattern.Length; i++)
{
str = str.Replace(pattern[i].ToString(), "");
}
return str;
}


zhangatm
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL 特殊字符处理
05-12
SQL特殊字符处理处理在模糊查寻中特殊字符的替换
SQL Server查询中的特殊字符处理
06-30
SQL Server查询中的特殊字符处理 我们都知道SQL Server查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。 但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。 其用途如下: 下划线..........
关于处理SQL特殊字符的基本方法总结
热门推荐
05-22 3万+
1、sql特殊字符带来的问题 在sql语句中,有些特殊字符,是sql保留的。比如 ' [ ]  等。我们可以先看看它们的用法。 当需要查询某数据时,加入条件语句,或着当你需要insert记录时,我们用  '  来将字符类型的数据引起来。比如: Select * from Customers where City = 'London' 当表的名字或列的名字中,含有空格等一些特殊字符
SQL 中的高级字符处理函数
最新发布
SQL数据库开发
07-29 750
点击关注公众号,SQL干货及时获取后台回复:1024,获取海量学习资源 SQL刷题专栏 SQL145题系列分享几个高级的字符处理函数CHARINDEX作用会在第二个字符表达式中搜索一个字符表达式,这将返回第一个表达式(如果发现存在)的开始位置。语法CHARINDEX ( expressionToFind , expressionToSearch [ , start_location ] )注:这是...
SQL特殊字符处理zz
weixin_34192816的博客
07-15 163
用户输入如果没有任何限制的话,则必须对特殊字符进行变换。如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。不 过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。例:SELECT * FROM TBL WHERE COL = 'ABC''DEF';模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。回避方法较单引号复杂。需 要使用...
SQL特殊字符处理
marrco2005的专栏
02-13 2450
 用户输入如果没有任何限制的话,则必须对特殊字符进行变换。如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。不过回避方法却非常简单,只要将单引号[]转换成两个单引号[]就可以了。例:SELECT * FROM TBL WHERE COL = ABCDEF;模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。回避方法较单引号复杂。需要使用转义
sql特殊字符处理
yang_chj的博客
03-24 2691
SQL查询中的特殊字符处理  我们都知道SQL查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。  但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。  其用途如下:  下划线:用于代替一个任意字符(相当于正则表达式中的 ? )  百分号:用于代替任意数目的
SqlServer中模糊查询对于特殊字符处理方法
09-09
总之,理解SQL Server中`LIKE`关键字对特殊字符处理规则,以及如何正确转义这些字符,对于编写有效的模糊查询至关重要。确保正确处理特殊字符可以避免查询错误,提高代码的稳定性和可维护性。在进行模糊查询时,应...
SQL关于特殊字符处理的基本方法.doc
12-21
SQL 关于特殊字符处理的基本方法 SQL 关于特殊字符处理的基本方法是 SQL 编程中非常重要的一方面。特别是在用户输入方面,可能会包含一些特殊字符,例如引号、尖括号等,这些字符可能会引发严重的安全问题,如 SQL ...
mybatis xml中特殊字符处理及特殊符号
08-27
因此,我们需要正确处理这些特殊字符以确保XML的有效性和SQL语句的正确性。 首先,我们来看如何处理XML中的特殊字符。在XML中,有四种常见的特殊字符需要转义: 1. `(小于号):在XML中应写作 `<` 2. `>` (大于...
C#实现过滤sql特殊字符的方法集合
09-03
在C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
SQL Server查询中特殊字符处理方法
05-31
此文档中详细的记载了,SQL Server查询中特殊字符处理方法,希望可以帮到下载的朋友们!
SQL Server查询中的特殊字符处理(C#代码)
06-14
SQL Server查询中的特殊字符处理(C#代码)
sql中的特殊字符
Live is to learn
12-15 2419
sql
SQL特殊字符处理
dubinglin的博客
03-23 684
回避特殊字符   '    ''  SELECT * FROM TBL WHERE COL = 'ABC''DEF';   %    \%  SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_%' ESCAPE '\';  _    \_  
如何用 SQL 查询特殊字符(Tab 符、换行符、回车符、单引号、双单引号)
qq_33665655的博客
06-13 1921
【代码】如何用 SQL 查询特殊字符(Tab 符、换行符、回车符、单引号、双单引号)
数据库sql特殊字符
tianyu0910的专栏
01-15 768
数据库sql特殊字符:1)单引号’:例如string a = “this is marry’s book.”;             使用insert时就会出错。             解决:a= a.Replace("","");2)百分号% :例如string a = “50%”;             使用like查询,查出带有50%的所有记录,则会被认为是
sql语言特殊字符处理
Henry.Ma
06-16 1298
我们都知道SQL Server查询过程中,单引号“”是特殊字符,所以在查询的时候要转换成双单引号“”。但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。其用途如下:下划线:用于代替一个任意字符(相当于正则表达式中的 ? )百分号:用于代替任意数目的任意字符(相当于正则表达式中的 * )方括
sql如何处理特殊替换字符
09-02
SQL中,可以使用内置函数或操作符来处理特殊替换字符。 一种常见的方法是使用REPLACE函数。这个函数可以在给定的字符串中查找特定的字符或字符串,并将其替换为新的字符或字符串。REPLACE函数的语法如下: REPLACE(要替换的字符串, 要查找的字符或字符串, 要替换为的新字符或字符串) 例如,如果我们有一个包含特殊替换字符的字符串:"Hello @World!",我们想要将字符“@”替换为“#”,我们可以使用以下SQL语句: SELECT REPLACE("Hello @World!", "@", "#"); 这将返回替换后的字符串:"Hello #World!"。 另一种常见的方法是使用TRANSLATE函数。TRANSLATE函数可以根据提供的替换规则对字符串进行字符替换。替换规则是通过两个字符串,一个用于指定需要替换的字符,另一个用于指定替换后的字符。TRANSLATE函数的语法如下: TRANSLATE(要替换的字符串, 需要替换的字符, 替换后的字符) 例如,如果我们有一个包含特殊替换字符的字符串:"Hello @World!",我们想要将字符“@”替换为“#”,我们可以使用以下SQL语句: SELECT TRANSLATE("Hello @World!", "@", "#"); 这将返回替换后的字符串:"Hello #World!"。 除了以上两种方法,还可以使用正则表达式来处理特殊替换字符。SQL中的正则表达式函数和操作符可以用来查找和替换字符串中的模式。 无论是使用REPLACE函数、TRANSLATE函数还是正则表达式,SQL提供了多种处理特殊替换字符的方法,可以根据具体的需求选择合适的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值