过滤sql特殊字符方法集合

最新推荐文章于 2024-04-28 16:11:59 发布
最新推荐文章于 2024-04-28 16:11:59 发布
阅读量721 收藏
点赞数
文章标签: sql string delete insert 数据库相关 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxin251858048/article/details/5958114
版权

1.
/// <summary>
    /// 过滤不安全的字符串
    /// </summary>
    /// <param name="Str"></param>
    /// <returns></returns>
    public static string FilteSQLStr(string Str)
    {

        Str = Str.Replace("'", "");
        Str = Str.Replace("/"", "");
        Str = Str.Replace("&", "&amp");
        Str = Str.Replace("<", "&lt");
        Str = Str.Replace(">", "&gt");

        Str = Str.Replace("delete", "");
        Str = Str.Replace("update", "");
        Str = Str.Replace("insert", "");

        return Str;
    }

2.

#region 过滤 Sql 语句字符串中的注入脚本
        /// <summary>
        /// 过滤 Sql 语句字符串中的注入脚本
        /// </summary>
        /// <param name="source">传入的字符串</param>
        /// <returns>过滤后的字符串</returns>
        public static string SqlFilter(string source)
        {
            //单引号替换成两个单引号
            source = source.Replace("'", "''");

            //半角封号替换为全角封号,防止多语句执行
            source = source.Replace(";", "");

            //半角括号替换为全角括号
            source = source.Replace("(", "");
            source = source.Replace(")", "");

            ///要用正则表达式替换,防止字母大小写得情况////

            //去除执行存储过程的命令关键字
            source = source.Replace("Exec", "");
            source = source.Replace("Execute", "");

            //去除系统存储过程或扩展存储过程关键字
            source = source.Replace("xp_", "x p_");
            source = source.Replace("sp_", "s p_");

            //防止16进制注入
            source = source.Replace("0x", "0 x");

            return source;
        }
        #endregion

3.

/// 过滤SQL字符。
        /// </summary>
        /// <param name="str">要过滤SQL字符的字符串。</param>
        /// <returns>已过滤掉SQL字符的字符串。</returns>
        public static string ReplaceSQLChar(string str)
        {
            if (str == String.Empty)
                return String.Empty; str = str.Replace("'", "");
            str = str.Replace(";", "");
            str = str.Replace(",", ",");
            str = str.Replace("?", "?");
            str = str.Replace("<", "");
            str = str.Replace(">", "");
            str = str.Replace("(", "(");
            str = str.Replace(")", ")");
            str = str.Replace("@", "");
            str = str.Replace("=", "");
            str = str.Replace("+", "");
            str = str.Replace("*", "");
            str = str.Replace("&", "");
            str = str.Replace("#", "");
            str = str.Replace("%", "");
            str = str.Replace("$", "");

            return str;
        }
4.


/// <summary>
/// 过滤标记
/// </summary>
/// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param>
/// <returns>已经去除标记后的文字</returns>
public string NoHtml(string Htmlstring)
{
    if (Htmlstring == null)
    {
        return "";
    }
    else
    {
        //删除脚本
         Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase);
        //删除HTML
        Htmlstring = Regex.Replace(Htmlstring, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"([/r/n])[/s]+", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"-->", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"<!--.*", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(quot|#34);", "/"", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(amp|#38);", "&", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(lt|#60);", "<", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(gt|#62);", ">", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(nbsp|#160);", " ", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(iexcl|#161);", "/xa1", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(cent|#162);", "/xa2", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(pound|#163);", "/xa3", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&(copy|#169);", "/xa9", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, @"&#(/d+);", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);

        //删除与数据库相关的词
         Htmlstring = Regex.Replace(Htmlstring, "select", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "insert", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "delete from", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "count''", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "drop table", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "truncate", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "asc", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "mid", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "char", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "exec master", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "and", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net user", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "or", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "net", "", RegexOptions.IgnoreCase);
        //Htmlstring = Regex.Replace(Htmlstring, "*", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "-", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "delete", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "drop", "", RegexOptions.IgnoreCase);
        Htmlstring = Regex.Replace(Htmlstring, "script", "", RegexOptions.IgnoreCase);

        //特殊的字符
         Htmlstring = Htmlstring.Replace("<", "");
        Htmlstring = Htmlstring.Replace(">", "");
        Htmlstring = Htmlstring.Replace("*", "");
        Htmlstring = Htmlstring.Replace("-", "");
        Htmlstring = Htmlstring.Replace("?", "");
        Htmlstring = Htmlstring.Replace("'", "''");
        Htmlstring = Htmlstring.Replace(",", "");
        Htmlstring = Htmlstring.Replace("/", "");
        Htmlstring = Htmlstring.Replace(";", "");
        Htmlstring = Htmlstring.Replace("*/", "");
        Htmlstring = Htmlstring.Replace("/r/n", "");
        Htmlstring = HttpContext.Current.Server.HtmlEncode(Htmlstring).Trim();

        return Htmlstring;
   }
}

5.

public static bool CheckBadWord(string str)
{
string pattern = @"select|insert|delete|from|count/(|drop table|update|truncate|asc/(|mid/(|char/(|xp_cmdshell|exec   master|netlocalgroup administrators|net user|or|and";
if (Regex.IsMatch(str, pattern, RegexOptions.IgnoreCase))
return true;
return false;
}
public static string Filter(string str)
{
string[] pattern ={ "select", "insert", "delete", "from", "count//(", "drop table", "update", "truncate", "asc//(", "mid//(", "char//(", "xp_cmdshell", "exec   master", "netlocalgroup administrators", "net user", "or", "and" };
for (int i = 0; i < pattern.Length; i++)
{
str = str.Replace(pattern[i].ToString(), "");
}
return str;
}

农家开发者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#实现过滤sql特殊字符方法集合
12-31
本文实例讲述了C#实现过滤sql特殊字符方法集合。分享给大家供大家参考,具体如下: 1. /// <summary> /// 过滤不安全的字符串 /// </summary> /// <param name=Str></param> /// <returns></returns> public static string FilteSQLStr(string Str) { Str = Str.Replace(', ); Str = Str.Replace(\, ); Str = Str.Replace(&, &); Str = Str.R
JSQLParser碰到的问题
bisal的专栏
09-24 2454
JSQLParser是github上一个开源的项目,专门解析SQL,可以轻松地得到一条SQL的列、表、条件等对象,P.S.https://github.com/JSQLParser/JS...
c#正则表达式过滤特殊字符
热门推荐
pigHead_chen的专栏
07-25 1万+
碰到了一个问题,要过滤字符串中的|#|$|^|*|(|)|+|{|?|[|.这种字符。可是这些字符时正则表达式中的特殊字符,怎么办呢?有两种办法。 主要的思路是把 类似 “*” “[”的Relpace 为“\*”,"\["等 1,直接替换。   splitKey = splitKey.Replace("|", "\\|").Replace("#", "\\#").Replace("$",
C#字符过滤指定字符
o_ojjj的博客
10-18 1489
public void StringSpilt(string name) { //Split可以去除掉字符串中特殊的字符 string[] s= name .Split(':') ; StringBuilder sb = new StringBuilder(); foreach (var item in s) { sb.Append(item); } Deb...
Sql server之sql注入篇
12-14
SQL Injection  关于sql注入的危害在...过滤LIKE条款的特殊字符  …如果有遗漏的也欢迎园子的大大们指教。  Sample:  var Shipcity;  ShipCity = Request.form ("ShipCity");  var sql = "select * from
Redis 中的布隆过滤器的实现
12-16
什么是『布隆过滤器』 布隆过滤器是一个神奇的数据结构,可以用来...但是随着爬虫爬过的 URL 越来越多,每次请求前都要访问数据库一次,并且对于这种字符串的 SQL 查询效率并不高。除了数据库之外,使用 Redis 的 set
sql注入问题后端字符过滤
weixin_39693899的博客
12-29 475
sql注入问题
sql php 过滤特殊字符,C#_C#实现过滤sql特殊字符方法集合,本文实例讲述了C#实现过滤sql - phpStudy...
weixin_36095188的博客
04-12 162
C#实现过滤sql特殊字符方法集合本文实例讲述了C#实现过滤sql特殊字符方法集合。分享给大家供大家参考,具体如下:1./// /// 过滤不安全的字符串/// /// /// public static string FilteSQLStr(string Str){Str = Str.Replace("'", "");Str = Str.Replace("\"", "");Str = Str...
基于SQL 语法解释器JSqlParser实现的SQL解析工具
04-06
NULL 博文链接:https://lxy19791111.iteye.com/blog/1543223
C#过滤控制字符(SOH、DLE、EOT)等
weixin_30915275的博客
05-07 2059
从设备采集到信息,有时候结尾会带些特殊字符,经常还是不可见字符,不过复制到Notepad++,会显示(SOH)(DLE)(EOT)等,查询后才知道这些是ASCII中的控制字符。 控制字符(Control Character),出现于特定的信息文本中,表示某一控制功能的字符。  在ASCII码中,第0~31号及第127号(共33个)是控制字符或通讯专...
c# 过滤特殊字符
weixin_30825581的博客
09-28 361
/// <summary> /// 过滤特殊字符 /// </summary> /// <param name="Input"></param> /// <returns></returns> public static ...
springboot项目拦截前端请求中的特殊字符
墨落成白的博客
05-10 5368
项目场景: springboot项目中,需要对前端请求数据进行过滤,拦截特殊字符。 问题描述 GET请求可以很方便的通过处理URL判断是否包含特殊字符,POST类型请求需要对form-data/json特殊处理,使用@RequestBody注解的controller获取不到数据 原因分析: request中的getInputStream()方法和getReader()方法只能获取一次数据,通过@RequestBody注解再次获取getInputStream()拿到结果为空,此处通过重写getInputStr
【C#】去除字符串中的特殊字符
阿鸥饿了
06-17 6724
学习了一下Trim的用法,挺实用的。 前台代码: <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <title>Trimi小技巧</title> </head> <body> <form id="form1" runat="server"> <div> <asp:TextBox ID="txtTr
C# 过滤特殊字符
xcyww的专栏
09-19 4852
static void Main(string[] args) { string s = @" 15462wjkhsk\asd/sadasgf:y ertert*?ert<>|"; s=ToSBC(s); Console.WriteLine("{0}",s); } #region
攻防演练作为红方:postgresql提权之UDF提权 ,及其好用的工具
最新发布
keyboard专栏
04-28 339
在 PostgreSQL 中,用户定义的函数(UDF)提权是一种常见的提升权限的方法,尤其是当你已经获得了数据库的访问权限但需要更高级别系统权限时。UDF 提权涉及在数据库中创建或使用函数,这些函数可以执行系统级别的命令,从而允许攻击者在数据库服务器上执行任意代码。
优化SQL方法
weixin_44139651的博客
04-26 898
使用join实现,但不适合join太多表,阿里巴巴开发者手册的规定,join表的数量不应该超过3个,join表数量太多时,会导致mysql在选错索引。一般SQL优化第一考虑的是索引优化,可使用explain命令,查看MySQL的执行计划,确认SQL是否有走索引。相对连接查询,子查询使用in关键字实现,具有结构化,相对简单,但是需要创建和删除临时表,增加资源消耗。索引可提升SQL效率,但索引需要额外的存储空间,而且还会有一定的性能消耗。left join,两个表的交集,以及左表剩余的数据,左表为驱动表。
SQL的基础语句
qq_51321722的博客
04-22 1373
因此在写子查询语句时,可以先测试下内层的子查询语句是否输出了想要的内容,再一层层往外测试,增加子查询正确率。使用SELECT查询时,如果结果集数据量很大,比如几万行数据,放在一个页面显示的话数据量太大,不如分页显示,每次显示100条。上述查询LIMIT 3 OFFSET 0表示,对结果集从0号记录开始,最多取3条。包含左边表的全部行(不管右边的表中是否存在与他们匹配的行),以及右边表中全部匹配的行。包含右边表的全部行(不管右边的表中是否存在与他们匹配的行),以及左边表中全部匹配的行。
根据orderId集合在order_details_Info表中查询itemId,如何写sql
06-09
可以使用SQL的INNER JOIN语句来实现。假设订单详情表的名字是order_details_Info,包含orderId、itemId和其他相关列,那么可以使用以下SQL语句来查询对应的itemId: ``` SELECT order_details_Info.itemId FROM order_details_Info WHERE order_details_Info.orderId IN ('orderId1', 'orderId2', 'orderId3') ``` 其中,IN关键字后面的字符集合为输入的orderId集合。通过WHERE子句过滤出输入的orderId集合对应的itemId集合

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值