防sql注入简单通用方法

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量441 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: sql注入 安全 盲注 特殊字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liydys/article/details/91045653 
/**
 * 处理字符转义
 *
 * @param value
 * @return
 */
private String valueClear(String value) {
    if (value == null || "".equals(value)) {
        return value;
    }
    String result = value.toLowerCase()
            .replaceAll("(^|\\&)|(\\|)|(\\;)|(\\$)|(\\%)|(\\@)|(\\')|(\\\")|(\\>)|(\\<)|(\\))|(\\()|(\\+)|(\\,)|(\\\\)|(\\#|$)|(\\*)|(\\?)|(\\!)|(\\_)|(\\=)|(\\^)|(\\~)","")
            .replaceAll("and", "")
            .replaceAll("exec", "")
            .replaceAll("insert", "")
            .replaceAll("select", "")
            .replaceAll("delete", "")
            .replaceAll("update", "")
            .replaceAll("count", "")
            .replaceAll("chr", "")
            .replaceAll("mid", "")
            .replaceAll("master", "")
            .replaceAll("truncate", "")
            .replaceAll("char", "")
            .replaceAll("declare", "")
            .replaceAll("or", "")
            .replaceAll("mid", "")
            .replaceAll("set", "")
            .replaceAll("from", "");
    return result;
}
通用Sql注入
稳而思静 慢而有为
05-18 874
通用Sql注入 通常判断是否有SQL注入点用单引号 一.通用SQL注入漏洞分为两种类型: 数字型 数字型判断:and 1=1 和and 1=2 字符型 字符型判断:and ‘1’=’1’ 和and ‘1’=’2 二.猜测字段(表的列数) Order by 任意数字 三.用union查询语句查询报错回显位置 ?id=-1’ union select (表的列数) %23(释符) 四.查询 相关函数: system_user() 系统用户名 user() 用户名 current_user 当
ASP.NET通用SQL注入脚本系统 V3.0
01-13
本程序采用.NET2.0 + WinXP + SQL2000/Access2003 + C# 开发。 V1.0版本与2009.8.18日推出。 V2.0版本与2009.9.10日推出,将代码集成类中,方便调用。 V3.0版本修正2.0版本Cookies参数Bug,增加了封锁IP功能,增加了后台管理,使得程序本身更加人性化。
如何sql注入呢?
热门推荐
li_lening的博客
05-21 11万+
sql注入大大降低了网站的安全性!最终达到欺骗服务器执行恶意的SQL命令。 会查出条件不允许的数据,假如是这样的一条sql:$sql="select * from stu where stu_name = $name and stu_email = $password";那么危险来了,注入sql后会变成这样:select * from t_admin where stu_name ='xxx' a...
关于一些简单sql注入
谢先生的日记
05-08 291
我们sql注入有这个方法, 我们在识别sql注入的时候我们需要对数据进行一系列的处理,使我们的网站安全性更高,那我们就要sql注入 对字符串进行替换 public static string ReplaceSqlKey(string strRequest) { strRequest = strRequest.ToLower(); //s...
简单sql注入及预
less_cold的博客
09-18 499
sql注入就是通过表单或者url来像服务器中插入sql语句,从而达到自己的目的,获取数据,修改数据。 例如输入' or 1='1;这样就使搜索的条件语句变成了一定成立的。 用sql注入就可以实现登录之类的。但是像我对密码用了md5加密,这样对密码的简单sql注入就失去了效果。 像这样只获得了读取的功能,并不是很有用。我们就想要获取数据表名,从而实现增删改的功能。 通过例如' or
SQL注入的最好实现方式是什么?
dotNET跨平台
09-23 347
咨询区 LeonidasFett:我的问题是:如何在 C# 中是使用SQL注入,我的模糊理解是可以通过限定应用程序接收的字段格式来实现最终目的,比如说:email字段只能接收email的...
asp中一段SQL注入通用脚本
10-30
#### SQL注入通用脚本详解 下面详细介绍这段SQL注入通用脚本,以便更好地理解和应用。 ##### 屏蔽通过地址栏攻击 ```vb url = Request.ServerVariables("QUERY_STRING") if InStr(url, ";") >= 1 then url...
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
本教程将详细讲解如何使用Global.asax文件来实现一个通用SQL注入策略,以保护ASP.NET应用程序不受此类攻击。 一、SQL注入的原理与危害 SQL注入主要是利用了程序处理用户输入时未进行充分验证的漏洞。攻击者可以...
ASP源码—360通用ASP护代码(sql注入).zip
最新发布
10-14
综上所述,理解和应用360通用ASP护代码对于任何ASP开发者来说都是至关重要的,它不仅可以SQL注入,还能帮助建立安全意识,提升整体的编程实践。在部署和维护ASP应用程序时,务必重视代码的安全性,确保用户...
360提供的phpsql注入代码修改类
05-02
为了SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
SQL注入攻击的10种有效方法
qq_28245087的博客
06-29 6万+
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
有效sql注入的两种方式
mameng1988的博客
09-22 2617
1 Mybatis 我们都知道:MyBatis使用#{}和KaTeX parse error: Expected 'EOF', got '#' at position 15: {}来进行参数值替换; 使用#̲{}语法时,MyBatis会自…{}语法时,MyBatis会直接注入原始字符串,即相当于分段字符串,因此会导致SQL注入,如: <select id="getByName" resultType="org.example.User"> SELECT * FROM user WHERE na
简单有效的SQL注入的两种方法
ddy2000的专栏
08-22 813
数据库系统,一个重要的问题是注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
C#基础学习20(SQL注入攻击)
Depths_p的博客
06-18 799
登录演示: 代码: //点击登录按钮 private void btnLog_Click(object sender, EventArgs e) { object m_obj; //获取输入的用户名密码 string userName = txtName.Text.Trim(); string userPsw = txtPsw.Text.Trim(); ...
编写通用的ASPSQL注入攻击程序
水族杰纶
12-05 8181
 SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。   IIS传递给
.net程序sql注入源代码(转)
weixin_34248849的博客
07-27 83
一个.net程序sql注入方法,方式一如下:将下面的代码加入到Global.asax文件中:     ///&lt;summary&gt;     ///SQL注入     ///&lt;/summary&gt;     ///&lt;param &gt;&lt;/param&gt;     ///&lt;param &gt;&lt;/param&gt;     void A...
SQL注入-绕过SQL通用注入系统
Jiajiajiang_的博客
11-08 3024
当我们输入特殊字符,类似于单引号,and,or等时,经常会被注入系统拦截,并且这种是没有记录日志的。 现在我们尝试绕过,get型的请求会被拦截,那post呢。 emmm....也被拦了 这个站点是asp的,那我们尝试用cookie传参, 我们发现没有被注入系统拦截。 因此构造sqlmap语句 sqlmap.py -u "http://www.xxxxx.com/...
SQL注入---
AnotherBl的博客
07-12 431
其实是sql注入的一种,之所以称为是因为他不会根据你sql注入的攻击语句返回你想要知道的错误信息。 :手工很繁琐 需要一个一个的试 不过现在还是先学习手工理解了sql注入的原理再去用工具比较好 分为两类: 1.布尔 布尔很明显Ture跟Fales,也就是说它只会根据    你的注入信息返回Ture跟Fales,也就没有了之前的报错信息。 2.时间 界面返回值只有一种,true 无论输入任何值 返回情况都会按正常的来处理。加入特定的时间函数,通过查看web页面返回的时间差来判断.
通用规则SQL注入检测方法研究与实现
"基于通用规则的SQL注入攻击检测与御系统的研究" 在当前信息化社会中,Web应用程序已经成为软件开发的关键部分,然而,随着其广泛应用,Web应用的安全问题也日益凸显,尤其是SQL注入攻击。SQL注入是一种常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值