高效的防SQL注入函数

最新推荐文章于 2024-04-23 22:39:42 发布

原创最新推荐文章于 2024-04-23 22:39:42 发布 · 1.5k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#sql #kill #insert #delete #function #each

asp 专栏收录该内容

3 篇文章

订阅专栏

FUNCTION CHECKSTR(ISTR)

DIM ISTR_FORM,SQL_KILL,SQL_KILL_1,SQL_KILL_2,ISTR_KILL

IF ISTR="" THEN EXIT FUNCTION

ISTR=LCase(ISTR)

ISTR_FORM=ISTR

SQL_KILL_1=SPLIT(SQL_KILL,"|")

FOR EACH SQL_KILL_2 IN SQL_KILL_1

ISTR=REPLACE(ISTR,SQL_KILL_2,"")

CHECKSTR=ISTR

ISTR_KILL=REPLACE(ISTR_FORM,ISTR,"")

IF ISTR<>ISTR_FORM THEN

RESPONSE.WRITE "<script>alert('警告: 您提交的数据["&ISTR_FORM&"]中含有非法字符 ["&ISTR_KILL&"]');history.back();</Script>"

RESPONSE.END

END IF

END FUNCTION

调用方法:

key=CHECKSTR(request.form("key"))

网上很多傻瓜式的防注入代码，虽然很易用，但是效率极低，对所有post的request.form与request.querystring都进行过滤检测，影响运行速度，以上函数可以在需要进行过滤的时候才调用。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

liujam_2008

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PHP如何防止SQL注入攻击？

破损的天堂鸟博客

07-19

1384

无论是Laravel还是cakePHP，它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段，有效地防止了SQL注入攻击。这些方法不仅简化了数据库操作，还提高了系统的安全性。

SQL Injection绕过技巧

weixin_34261739的博客

08-15

1279

0x00 sql注入的原因 sql注入的原因，表面上说是因为拼接字符串，构成sql语句，没有使用 sql语句预编译，绑定变量。但是更深层次的原因是，将用户输入的字符串，当成了 “sql语句” 来执行。比如上面的 String sql = "select id,no from user where id=" + id; 我们希望用户输入的 id 的值，仅仅作为一个字符串字面值，传入数据库执行，...

参与评论您还未登录，请先登录后发表或查看评论

众多开源系统使用的过滤SQL注入函数

weixin_34255793的博客

11-16

197

$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslashes($_F...

Oracle 使用PreparedStatement防止SQL注入

每天进步一点点时间会让你成为巨人

01-05

9522

一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用

码出高效读书笔记：SQL注入

weixin_41047704的博客

12-30

209

Q1：什么是SQL注入？ A1：SQL注入是注入式攻击中的常见类型，SQL注入式攻击是未将代码与数据进行严格的隔离，导致在读取用户数据的时候，错误地将数据作为代码的一部分执行，从而导致一些安全问题。典型的SQL注入的例子是当对SQL语句进行字符串拼接操作时，直接使用未加转义的用户输入内容作为变量。例如： var testCondition; //测试内容变量 te...

正则表达式防SQL注入函数

小丸子的专栏

10-08

8194

<br /> 最近研究上了正则表达式，正则表达式是一种匹配字符串的工具，不过它非常强大，效率也很高。php虽然有庞大的函数库，但如果单靠php的系统函数写一个防SQL注入函数的函数就未免有点繁琐了。下面这个是我自己写的防SQL注入函数，可以去除特殊符号+*`/-$#^~!@#$%&[]'"、空格、换行符、制表符。应该可以过滤恶意sql查询语句和万能登录语句的输入。<br /> <br />function clean($str)<br />{<br /> $str=trim($str);<br

php中htmlspecialchars()函数和addslashes()函数的使用和区别

weixin_30651273的博客

02-13

588

在防止被注入攻击时，常会用到两个函数：htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1）addslashes()作用及使用 addslashes()通常用于防止sql注入，它可对通过get，post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义如：如变量$str=$_POST["str"];的值为：bb'...

PHP+Mysql 带SQL注入源码下载

01-01

这两个扩展都支持预处理语句，这是防止SQL注入的有效手段。 **预处理语句与参数绑定** 预处理语句是防止SQL注入的一种最佳实践。它允许开发者在执行SQL查询之前先定义好结构，然后将变量作为参数传递。这样，即使...

Scrawlr：高效的SQL注入检测工具

2. 基于时间的SQL注入：通过在SQL语句中加入延时函数（如`SLEEP()`、`WAITFOR DELAY`等），观察返回页面的加载时间，以判断条件是否成立。 3. 基于重错的SQL注入：通过故意制造语法错误，分析服务器返回的错误信息，...

SQL脚本：高效清除SQL注入恶意数据

本文档提供了一个SQL脚本，用于在数据库中执行删除SQL注入恶意数据的操作。标题"SQL删除注入数据的SQL脚本"明确指出其核心功能，即处理SQL注入问题并移除可能存在的恶意输入。描述部分强调了脚本的使用方法和注意...

GoSQL注入防御：基于sqlparser的AST检测方案.pdf

最新发布

05-02

文档内所有文字、图表、函数、目录等元素均显示正常，无任何异常情况，敬请您放心查阅与使用。文档仅供学习参考，请勿用作商业用途。编译闪电般迅速，并发性能卓越，部署轻松简单！Go 语言以极简设计理念和出色工程...

防止sql注入的几个简单函数应用

不负好时光的博客

09-18

2979

几个简单的函数有: trim ( string $str [, string $charlist = " \t\n\r\0\x0B" ] ) 去除字符串首尾处的空白字符（或者其他字符）此函数返回字符串 str 去除首尾空白字符后的结果。如果不指定第二个参数，trim() 将去除这些字符： " " (ASCII 32 (0x20))，普通空格符。 "\t" (

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法，提高网站的安全性

通用权限管理系统

10-24

791

<br />并非人人是高手，并非人人是神仙，我也有不懂的地方，我也有不注意的技术问题，多交流多学习就是最好的提高方法<br /> <br /> 其实对与初学者来说，进行的动态的查询语句拼接也不是那么好做的事情，就是做出来了，也未必是经得起考验的足够灵活好用的，未必是能拿得出手可以进行推广的，是否能拿得出就是其中的关键。<br /> <br /> 今天检查公司的软件项目质量，发现有2个同事写的程序存在SQL注入攻击的漏洞，当然也不能怪罪人家，他们也是刚参加工作1-2年，还没有那么丰富的技术经验、安全意

SQL防注入过滤函数

“小学生”的专栏

01-07

570

今天在google输入"aspx 防注入" ，检索到这文章不错，就摘录。我采集的来源http://blog.donews.com/qzzxl/archive/2008/01/04/1243222.aspx不知是否原创。SQL防注入过滤函数****************************************************过程名：Check

防SQL注入函数

07-18

413

void Check() { string sql_injdata = "and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare";//要过虑的关键字 string[] SQL_inj = sql_injdata.Split(|);

防数据库sql注入过滤代码

云博客_资源宝分享

03-10

659

防数据库sql注入过滤代码

SQL注入常用函数

zgqtxwd的专栏

04-29

685

<script type="text/javascript"

常见sql注入类型及对应函数使用

ch_ycc的博客

04-23

840

防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中（比如虽然参数在过滤后会添加"“进行转义，但是”"并不会插入到数据库中），当Web程序调用存储在数据库中的恶意数据并执行SQL查询时，就发生了SQL二次注入。

SQL注入一些过滤及绕过总结

2301_76786857的博客

12-27

1930

过滤关键字应该是最常见的过滤了，因为只要把关键字一过滤，你的注入语句基本就不起作用了。（3）既然是过滤关键字，大小写应该都会被匹配过滤，所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号，要是逗号被过滤了，那就只能想办法绕过了。（2）对于盲注的那几个函数substr(),mid(),limit。（1）最常用的绕过方法就是用/**/，，分割关键字。（2）根据过滤程度，有时候还可以用双写绕过。（1）简单注入可以使用join方法绕过。（4）有时候还可以使用编码绕过。