高效的防SQL注入函数

最新推荐文章于 2025-03-31 09:25:20 发布
最新推荐文章于 2025-03-31 09:25:20 发布
阅读量1.5k 收藏
点赞数
分类专栏: asp 文章标签: sql kill insert delete function each
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liujam_2008/article/details/1043826
版权

 

FUNCTION CHECKSTR(ISTR)
DIM ISTR_FORM,SQL_KILL,SQL_KILL_1,SQL_KILL_2,ISTR_KILL 
IF ISTR="" THEN EXIT FUNCTION
ISTR=LCase(ISTR)
ISTR_FORM=ISTR
SQL_KILL="'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|set|;|from|="
SQL_KILL_1=SPLIT(SQL_KILL,"|")
FOR EACH SQL_KILL_2 IN SQL_KILL_1
ISTR=REPLACE(ISTR,SQL_KILL_2,"")
NEXT
CHECKSTR=ISTR
ISTR_KILL=REPLACE(ISTR_FORM,ISTR,"")
IF ISTR<>ISTR_FORM THEN
RESPONSE.WRITE "<script>alert('警告: 您提交的数据["&ISTR_FORM&"]中含有非法字符 ["&ISTR_KILL&"]');history.back();</Script>"
RESPONSE.END
END IF
END FUNCTION

 调用方法:

key=CHECKSTR(request.form("key"))

网上很多傻瓜式的防注入代码,虽然很易用,但是效率极低,对所有post的request.form与request.querystring都进行过滤检测,影响运行速度,以上函数可以在需要进行过滤的时候才调用。

SQL注入过滤函数
“小学生”的专栏
01-07 541
今天在google输入"aspx 注入" ,检索到这文章不错,就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL注入过滤函数****************************************************过程名:Check
PHP如何SQL注入攻击?
破损的天堂鸟博客
07-19 1258
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
众多开源系统使用的过滤SQL注入函数
weixin_34255793的博客
11-16 174
$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_F...
sql注入规则过滤
最新发布
2402_87087060的博客
03-31 484
(or|xor|and):匹配关键词 or、xor 或 and,这些是SQL中的逻辑运算符,常用于注入攻击中的条件构造。目的:检测使用 union select 的SQL注入攻击,这种攻击常用于合并原始查询结果和注入的查询结果。(=|<|>|'|"):匹配等号、小于号、大于号、单引号或双引号,这些符号常用于构造SQL注入语句。(from|limit):匹配关键词 from 或 limit,这些是SQL查询中常见的子句。规则1: \s+(or|xor|and)\s+.*(=|<|>|'|")
Oracle 使用PreparedStatementSQL注入
每天进步一点点 时间会让你成为巨人
01-05 9482
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
码出高效读书笔记:SQL注入
weixin_41047704的博客
12-30 189
Q1:什么是SQL注入? A1:SQL注入注入式攻击中的常见类型,SQL注入式攻击是未将代码与数据进行严格的隔离,导致在读取用户数据的时候,错误地将数据作为代码的一部分执行,从而导致一些安全问题。 典型的SQL注入的例子是当对SQL语句进行字符串拼接操作时,直接使用未加转义的用户输入内容作为变量。例如: var testCondition; //测试内容变量 te...
正则表达式SQL注入函数
小丸子的专栏
10-08 8163
<br />       最近研究上了正则表达式,正则表达式是一种匹配字符串的工具,不过它非常强大,效率也很高。php虽然有庞大的函数库,但如果单靠php的系统函数写一个SQL注入函数函数就未免有点繁琐了。下面这个是我自己写的SQL注入函数,可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br
微软数据库的SQL注入漏洞解析——Microsoft Access、SQLServer与SQL注入
CoffeMilk的博客
09-12 2319
一般进行SQL注入前,都需要对这些数据库所对应的程序寻找注入点,常见的SQL注入点一般存在于参数输入、输出的位置(如:注册登录、不同页码、参数内容的数据查询、不同页面切换、留言版等内容)。
PHP+MysqlSQL注入源码 下载
01-01
这两个扩展都支持预处理语句,这是SQL注入的有效手段。 **预处理语句与参数绑定** 预处理语句是SQL注入的一种最佳实践。它允许开发者在执行SQL查询之前先定义好结构,然后将变量作为参数传递。这样,即使...
Scrawlr:高效SQL注入检测工具
2. 基于时间的SQL注入:通过在SQL语句中加入延时函数(如`SLEEP()`、`WAITFOR DELAY`等),观察返回页面的加载时间,以判断条件是否成立。 3. 基于重错的SQL注入:通过故意制造语法错误,分析服务器返回的错误信息,...
SQL脚本:高效清除SQL注入恶意数据
本文档提供了一个SQL脚本,用于在数据库中执行删除SQL注入恶意数据的操作。标题"SQL删除注入数据的SQL脚本"明确指出其核心功能,即处理SQL注入问题并移除可能存在的恶意输入。描述部分强调了脚本的使用方法和注意...
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 556
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
sql注入的几个简单函数应用
不负好时光的博客
09-18 2935
几个简单的函数有:  trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符(或者其他字符) 此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数,trim() 将去除这些字符: " " (ASCII 32 (0x20)),普通空格符。 "\t" (
简单高效注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
通用权限管理系统
10-24 767
<br />并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法<br /> <br />   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。<br /> <br />   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1-2年,还没有那么丰富的技术经验、安全意
SQL注入函数
07-18 395
  void Check()    {               string sql_injdata = "and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare";//要过虑的关键字        string[] SQL_inj = sql_injdata.Split(|);    
数据库sql注入过滤代码
云博客_资源宝分享
03-10 622
数据库sql注入过滤代码
SQL注入常用函数
zgqtxwd的专栏
04-29 571
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
SQL Injection绕过技巧
weixin_34261739的博客
08-15 1237
0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,...
SQL注入一些过滤及绕过总结
2301_76786857的博客
12-27 1651
过滤关键字应该是最常见的过滤了,因为只要把关键字一过滤,你的注入语句基本就不起作用了。(3)既然是过滤关键字,大小写应该都会被匹配过滤,所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号,要是逗号被过滤了,那就只能想办法绕过了。(2)对于盲注的那几个函数substr(),mid(),limit。(1)最常用的绕过方法就是用/**/,,分割关键字。(2)根据过滤程度,有时候还可以用双写绕过。(1)简单注入可以使用join方法绕过。(4)有时候还可以使用编码绕过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值