一个防SQL注入的小例子

最新推荐文章于 2022-09-13 20:44:06 发布
最新推荐文章于 2022-09-13 20:44:06 发布
阅读量357 收藏
点赞数 1
文章标签: sql database each insert delete file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjf07/article/details/1765997
版权

下面的例子是我的一个网站中的代码,当然,数据库名字是改了的。我希望能给各位读者一点帮助。

<%
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")

If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then

Response.end
end if
next
Next
End If
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.end
end if
next
next
end if
%>

<!--#include file="inc/a.asp"-->
<!--#include file="inc/md5.asp"-->
<%
dim webtitle,xiaolin,conn,connstr
webtitle="Sivehse"
 
if md5(CodeAuthor,16)<>"f56c2fa93409cc94" then
 response.Write"<font style='font-size:12px;color:red'>你没有操作权限...!请和作者联系(QQ:247646640)</font>"
 Response.End
 else
set conn=server.CreateObject("ADODB.Connection")
connstr=" provider=microsoft.jet.oledb.4.0;jet oledb:database password=;data source="& server.MapPath("piaoliangdemm.mdb")
conn.open connstr
end if
%>
 

zjf07
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hibernate使用中SQL注入的几种方案
01-20
SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁系统安全。以下是Hibernate中SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过...
sql通用注入代码
rztyfx的专栏
11-20 1616
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
<转载>突破 Sql 注入过滤程序继续注入的一点方法
玄冰幽阁
02-24 720
现在网上流传很多注入代码。这些真的有用吗?这是在网上找的一个注入代码 例如: ''''--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr ''''自定义需要过滤的字串,用 "|" 分隔 Fy_In = "''''|;|and|exec|insert|select|dele
通用SQL注入攻击代码,无错!
思科网络
04-07 1237
定义过滤内容dim   sql_injdata   SQL_injdata   = "|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"SQL_inj   =   split(SQL_Injdata,"|")检查get方式If   Request.QueryStringFo
mysql注入过滤逗号,突破 Sql 注入过滤程序继续注入的一点方法
weixin_42565971的博客
03-18 169
现在网上流传很多注入代码。这些真的有用吗?这是在网上找的一个注入代码例如:''''--------定义部份------------------Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr''''自定义需要过滤的字串,用 "|" 分隔Fy_In = "''''|;|and|exec|insert|select|delete|update...
一个简单的SQL注入攻击的例子
最新发布
06-06
使用参数化查询:这是SQL注入的最有效方法。参数化查询确保了输入数据不会被解释为SQL代码的一部分。 例如,在Python中使用sqlite3库的参数化查询: PYTHON 复制 1 2 3 4 5 6 7 import sqlite3 conn = sqlite...
SQL注入的2个小Trick及示例总结
09-09
本文将详细介绍两个关于SQL注入的小技巧,以及如何利用它们进行盲注攻击。 ### BETWEEN AND 操作符的利用 **BETWEEN AND** 操作符在SQL中用于选取位于两个值之间的一个数据范围。例如,如果你有一个`id`字段,你...
分享一个简单的sql注入
12-16
为了SQL注入,开发者应遵循以下最佳实践: 1. **参数化查询**:使用预编译的SQL语句,将用户输入作为参数传递,而不是直接拼接在查询中。例如,使用Java的JDBC PreparedStatement。 2. **输入验证和过滤**:...
基于ESAPI的sql注入jar包及使用示例.rar
10-17
在这个例子中,`escapeSQL()`方法被用来处理用户输入,将其转化为安全的SQL片段,止潜在的SQL注入攻击。 总的来说,基于ESAPI的SQL注入策略是通过预先定义好的安全规则和编码机制,确保用户输入不会破坏SQL语句...
好用的aspSQL注入代码
暗淡亮点的博客
10-28 3804
在连接数据库的下方加入代码就可以sql注入了:dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"SQL_inj = split(SQL_Injd
如何sql恶意注入
m0_72345017的博客
09-13 1232
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
sql注入一个例子让你知道什么是sql注入
qq_41246635的博客
08-03 1万+
sql注入一个例子让你知道什么是sql注入 这篇文章说的非常好 https://www.cnblogs.com/sdya/p/4568548.html 我就是按照文中例子,亲自在我之前用final框架做的项目中,操作了一遍,的确是实现了用户登录。 在不知道用户名和密码的情况下实现了用户登录 重现sql注入过程如下: 1、在用户名输入' or 1=1 --,然后随便输入一个密码 ...
SQL注入
u014644574的博客
04-27 2001
SQL注入
SQL注入案例演示与范措施大全
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
SQL注入实例
qq_42027237的博客
05-07 2372
SQL注入的动机 近来教育行业的信息安全问题真是一波未平一波又起:陆续发生多个高校网站网页被篡改,甚至发生在G20会议期间,影响恶劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行业成为电信诈骗的重灾区,据统计,被骗学生占全部被骗人数的20%左右,甚至发生了大学生和马上要进入大学的高三毕业生被骗导致含恨离世的人间惨剧;考试成绩被改,涉事人员被判;学校内部一卡通系统账目被改动;以及诸多...
sql 注入例子
weixin_30633507的博客
05-28 133
一、什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令二、sql例子 1.数字注入 假设在项目中,在地址栏输入,sql.php/user.php?id=1 ,可以获取id为1的用户的信息 这时候,如果在地址栏输入:sql.php/user.php?id=-1 OR 1=1...
SQL注入一个简单实例
热门推荐
u012436758的博客
12-25 1万+
很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口,使得数据可以传递至Web应用程序。很多Web站点都会利用用户输入的参数动态地生成SQL查询要求,攻击者通过在URL、表单域,或者其他的输入域中输入自己的SQL命令,以此改变查询属性,骗过应用程序,从而可以对数据进行不受限的访问。
举例说明对数据库SQL注入
风吹雪满头即为白首
04-13 523
SQL注入止数据库攻击的一个有效策略。攻击者将注入一个SQL语句到另外一个语句中,这个通常会损坏你的数据库。有数据库接口的Web站点通常在SQL注入的时候容易受到攻击,因为它们是基于动态的SQL;下面是一个简单的例子:在一个ASP页面中会请求用户输入名字和密码,然后将下面的字符串发送到数据库中:SELECT FROM users WHERE username =’whatever’ AND p...
一个sql注入sql
06-02
下面是一个使用参数化查询的例子,可以有效地SQL 注入攻击: ```sql SELECT column_name FROM table_name WHERE column_name = @input_value; ``` 其中,`@input_value` 是一个参数,它不会被当做 SQL 语句的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值