最友好的SQL注入防御方法

最新推荐文章于 2025-12-19 15:29:00 发布
原创 最新推荐文章于 2025-12-19 15:29:00 发布 · 848 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #function #delete #interface #insert #asp

博客指出部分系统因过度过滤字符导致用户界面不友好、用户流失,给出在绝对安全前提下,过滤最少且友好的防注入方法。包括用isNumeric()判断数字型变量,将单引号替换成两个处理字符型变量,还给出代替ASP的Request函数及过滤代码示例。
    不知道是不是有些人给SQL注入吓怕了,把一大堆根本对系统安全没威胁的字符(比如"号,%号等)都过滤了(甚至NB联盟有些人居然也这样做),使得一些系统的User Interface极不友好,经常出现"输入特殊字符"的提示,造成用户的流失.
   以下是根据我一年注入经验的总结,在绝对安全的前提下,过滤得最少,最友好的防注入方法:
    1.数字型变量:用isNumeric()判断是否为数字
    2.字符型或其它类型变量:将单引号'替换成两个
    下面给出两个函数,用来代替ASP的Request函数,只要每处地方使用这两个函数取值,SQL注入根本没有用武之地.

'----------------------------------------------------------------
' 获取数字型参数
'----------------------------------------------------------------
Function ReqNum ( StrName )
    ReqNum = Request ( StrName )
    if not isNumeric ( ReqNum ) then
        response.write "参数必须为数字型!"
        response.end
    end if
End Function

'----------------------------------------------------------------
' 获取字符型参数
'----------------------------------------------------------------
Function ReqStr ( StrName )
    ReqStr = Replace ( Request(StrName), "'", "''" )
End Function

或是加代码过滤

Function sqlstr(data)          '過濾字符串
   data = Trim(Replace(Request(data), "&", "&"))
  data = replace(data, "<", "&lt;")
  data = replace(data, ">", "&gt;")
  data = replace(data, "'", """")
  data = replace(data, "*", "")
  data = replace(data, "?", "")
  data = replace(data, "select", "")
  data = replace(data, "insert", "")
  data = replace(data, "delete", "")
  data = replace(data, "update", "")
  data = replace(data, "delete", "")
  data = replace(data, "create", "")
  data = replace(data, "drop", "")
  data = replace(data, "declare", "")
  data = replace(data, vbCrLf&vbCrlf, "</p><p>")
  data = replace(data, vbCrLf, "<br>")
  sqlstr = (data)
  End Function

不夠自己加!
amh
关注
专栏目录
防御SQL注入方法总结
12-15
使用PreparedStatement是防止SQL注入有效的方法。预编译的SQL语句在执行前会由数据库解析并创建执行计划。当设置参数时,如`PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id);`,数据库会将...
RedTeamer-SQL注入防御实战项目
12-13
为了应对这一挑战,实战项目“RedTeamer-SQL注入防御”应运而生。该项目旨在通过实际案例分析、技术讲解和实战演练,教授开发人员和安全工程师如何构建更加坚固的防御机制,以抵御SQL注入攻击。实战项目涵盖多种防御...
警惕SQL注入的危险
热门推荐
11-08 6万+
                                                   程科峰    基础的SQL语言对于每个从事SQL开发的人员来说都是非常重要的,而SQL注入是从SQL应用衍生出来的一种漏洞或攻击方法。本文在回顾基础的SQL语言的基础上,介绍了SQL注入和如何使用SQL注入法进行网络攻击。    网络的应用和普及产生了大量的数据信息,这些数据信息多被存在数据库中。
某客户一些错误信息的处理
weixin_30918415的博客
11-18 200
近去帮某客户处理,顺带处理了一些问题 1.客户使用DBCC check DB,出现很多2570错误,符合以下链接 http://support.microsoft.com/kb/923247/ 有以下三种可能性 Invalid or out-of-range data may have been stored in the SQL Server database in earlier...
Error querying database. Cause: com.github.pagehelper.PageException: 无法自动获取数据库类型(APP)
HighGO
08-10 5078
目录 环境 症状 问题原因 解决方案 环境 系统平台:Microsoft Windows (64-bit) 10 版本:5.6.4 症状 数据库连接正常,程序测试时遇到有分页功能的页面报如下错误 ### Error querying database. Cause: com.github.pagehelper.PageException: 无法自动获取数据库类型,请通过 helperDialect 参数指定! ### Cause: com.github.pagehelper.PageE.
python基础[16]——解决django连接mysql数据库报错的问题
weixin_30914981的博客
07-03 113
Models.py #创建数据表 from django.db import models from django.utils import timezone from tinymce.models import HTMLField # Create your models here. class Post(models.Model): title = models...
SQL注入防御方法
weixin_57763462的博客
06-27 1470
1.使用预编译语句(Prepared Statements)和参数化查询:这是预防SQL注入有效方法之一,通过这种方式,可以确保SQL语句的结构在编译时就确定下来,之后传入的参数不会改变语句的结构,因此可以避免注入攻击。6.限制数据库权限:为应用程序使用的数据库账户只赋予必要的权限,避免使用具有高级权限的账户,这样即使发生注入攻击,攻击者能做的也非常有限。3.使用ORM(对象关系映射)工具:许多现代编程框架提供了ORM工具,它们可以自动进行参数化查询,从而降低直接编写SQL语句的风险。
防御 SQL 注入攻击的方法
葡萄城技术团队博客
07-18 911
SQL注入是Web应用的主要安全威胁之一,本文介绍了四种有效的防御方法:1)使用预编译语句和参数化查询分离SQL代码与数据;2)通过存储过程封装SQL逻辑;3)对用户输入进行严格验证和清理;4)采用ORM框架内置的安全机制。这些多层次防护措施各有优势,开发者应根据应用场景选择合适的方法组合使用,构建更安全的数据库交互系统。
php sql注入防御方法,SQL注入防御方法有哪些
weixin_30491017的博客
03-19 774
SQL注入防御方法有:1、PreparedStatement;2、使用正则表达式过滤传入的参数;3、字符串过滤。其中,采用预编译语句集是简单又有效的方法,因为它内置了处理SQL注入的能力。SQL注入防御方法下面针对JSP,说一下应对方法:(推荐学习:mysql教程)1、(简单又有效的方法)PreparedStatement采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX...
sql注入之——sql注入防御方法
温柔小薛的博客
07-19 1427
填坑 之前忘记发了 sql注入防御方法 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库 配置使用小权限原则。通常修复使用的方案有: 一、代码层面 1.对输入进行严格的转义和过滤 2.使用参数化(Parameterized) 二、网络层面 1.通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 2.云端防护(360网站卫士,阿里云盾等) PHP防范推荐方法:PDO预处理——PDO预处理能防止SQL注入的原因 没有进行PDO预处理的SQL,在输入SQL语句进行
SQL注入攻击原理与防御全解析
渣渣盟的博客
06-09 3855
SQL注入是一种常见的网络攻击手段,通过向Web应用程序输入恶意SQL代码来非法操作数据库。文章系统分析了SQL注入的原理、实现方式、危害及预防措施。SQL注入的本质是将用户输入数据当作代码执行,攻击者可借此窃取敏感数据、破坏数据库或获取系统控制权。常见的注入方式包括数字/字符型注入、盲注、联合查询等。预防措施包括严格输入验证、使用预编译语句、小权限原则和定期安全测试。文章强调,随着网络威胁加剧,采取多重防护措施对保障Web应用安全至关重要。
SQL注入攻击与防御
weixin_45840241的博客
05-27 1678
例如,攻击者可以通过创建存储过程来将恶意SQL语句存储在数据库中,并在需要时执行该存储过程。-- 来绕过这种过滤。并将用户输入绑定到参数 `username` 和 `password`。对用户输入进行严格的过滤,可以去除所有可能导致SQL注入攻击的字符。使用参数化查询或预编译语句,将用户输入与SQL语句分开。参数化查询或预编译语句可以将用户输入与SQL语句分开,从而防止SQL注入攻击。使用参数化查询或预编译语句,将用户输入与SQL语句分开。攻击者可以通过输入 ' AND '1'='1 来绕过这种过滤。
python_django-SQL注入防御实战项目
12-06
SQL注入防御是一个涉及多方面的复杂过程,需要从框架使用、代码编写、安全教育、环境部署等多个维度来进行全面的防护。通过具体的实战项目,可以将这些知识和技能融合在一起,形成一套完整的防御体系。在Django框架...
pentest_book-SQL注入防御实战项目
12-11
在实践中,防御SQL注入的措施多种多样,其中基本的方法是使用预处理语句(prepared statements)和参数化查询,这种方法通过分离SQL语句和数据输入来预防SQL注入攻击。此外,存储过程、错误信息隐藏、小权限原则...
海外开发者实践分享:用 MoonBit 开发 SQLC 插件(其二)
m0_74743788的博客
12-18 844
第一篇的链接:https://zenn.dev/4245ryomt/articles/9680434dc60c0c本文中使用的moon。
oracle 数据库巡检 sql
zhangyongze_z的博客
12-18 151
【代码】oracle 数据库巡检 sql
若依微服务全面适配PostgreSQL-OpenGauss数据库
最新发布
一颗红心向太阳☀
12-19 1089
本文介绍了PostgreSQL与OpenGauss数据库的技术关系及在若依微服务中的适配方案。OpenGauss基于PostgreSQL内核开发,完全兼容其协议并进行了性能优化和安全增强。适配步骤包括:1)设置客户端编码;2)创建数据库表结构;3)重点展示了gen_table和gen_table_column两个核心表的建表语句,包含字段定义、类型说明和注释信息。该方案既满足国产化信创要求,又保持了PostgreSQL生态的兼容性,为若依系统提供了性能优化的数据库支持。
Windows 操作系统中 SQL Server 的版本要求
让编程变的很简单!!
12-18 225
docker 部署pgsql
隔壁小红馆
12-16 311
如果是docker安装的odoo环境,在做备份时,注意在第三方填的路径是docker容器里面的。
常见的sql注入防御方法
06-13
SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意SQL代码来操纵数据库。为防止SQL注入,开发者可以采用多种策略和技术来保护应用程序。以下是一些常见的SQL注入防御方法: 1. **参数化查询(Parameterized Queries)**:这是有效的防御手段之一,它将SQL语句中的用户输入作为参数传递给查询,而不是直接拼接到SQL文本中。这样可以避免解析器执行恶意代码。 2. **预编译语句(Prepared Statements)**:类似参数化查询,数据库会预先编译查询语句,然后多次使用,每次传入不同的参数值。 3. **输入验证和过滤**:对用户输入进行严格的检查和格式验证,确保它们符合预期的数据类型和模式,移除特殊字符或转义特殊SQL字符。 4. **使用存储过程(Stored Procedures)**:存储过程在服务器端执行,减少了直接暴露在用户输入下的SQL代码,提高了安全性。 5. **输入长度限制**:设置合理的输入长度限制,防止恶意长字符串导致的SQL注入。 6. **错误处理和信息隐藏**:不向用户显示详细的错误信息,这可能包含数据库结构或敏感数据,攻击者可通过这些信息构造注入语句。 7. **使用ORM(Object-Relational Mapping)框架**:这些框架通常处理SQL查询的细节,提供了一定程度的安全性。 8. **启用数据库的SQL注入防御功能**:例如,MySQL的`EXTRA`信息或某些数据库系统的参数设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值