防止SQL注入

最新推荐文章于 2025-09-10 14:53:18 发布
转载 最新推荐文章于 2025-09-10 14:53:18 发布 · 105 阅读 · 0
文章标签:

#javascript #ViewUI

本文介绍.NET环境下三种防止SQL注入的方法:使用SqlParameter传递参数、过滤非法SQL关键字和使用存储过程;并提供JavaScript版本的SQL注入防护代码。

.NET防SQL注入方法

1,利用SqlCommand传参数的方法:

string strSQL="SELECT * FROM [user] WHERE user_id=@id";

SqlCommand cmd = new SqlCommand();

cmd.CommandText = strSQL;

cmd.Parameters.Add("@id",SqlDbType.VarChar,20).Value=Request["id"].ToString();

2,过滤禁止运行法:

/// <summary>

/// 过滤SQL语句,防止注入

/// </summary>

/// <param name="strSql"></param>

/// <returns>0 - 没有注入, 1 - 有注入 </returns>

public int filterSql(string sSql)

{

int srcLen, decLen = 0;

sSql = sSql.ToLower().Trim();

srcLen = sSql.Length;

sSql = sSql.Replace("exec", "");

sSql = sSql.Replace("delete", "");

sSql = sSql.Replace("master", "");

sSql = sSql.Replace("truncate", "");

sSql = sSql.Replace("declare", "");

sSql = sSql.Replace("create", "");

sSql = sSql.Replace("xp_", "no");

decLen = sSql.Length;

if (srcLen == decLen) return 0; else return 1;        

}

//sql过滤关键字   
public static bool CheckKeyWord(string sWord)
    {
       //过滤关键字
        string StrKeyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";
     //过滤关键字符
     string StrRegex = @"[-|;|,|/|\(|\)|\[|\]|}|{|%|\@|*|!|']";
        if (Regex.IsMatch(sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(sWord, StrRegex))
            return true;
        return false;
    }

3,存储过程

js版的防范SQL注入式攻击代码:

<script language="javascript">

<!--

var url = location.search;

var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\"|:|net%20user|\|%20or%20)(.*)$/gi;

var e = re.test(url);

if(e) {

alert("地址中含有非法字符~");

location.href="error.asp";

}

//-->

<script>

http://www.cnblogs.com/fumj/p/3223320.html

http://www.cnblogs.com/xiepeixing/archive/2012/11/13/2767733.html

SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
跟小G学编程 T-SQL篇 (1)也谈SQL注入
weixin_30887919的博客
11-11 86
1.什么是SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 2.怎么进行SQL注入 关于怎么进行SQL注入,网上已经有很多文章详细介绍过了,可以参考博友...
T-SQL篇如何防止SQL注入的解决方法(3)
weixin_30252155的博客
02-07 120
过滤类是在某前辈的作品基础上改的,很抱歉我已经找不到最原始的出处了。需要在Web.Config中添加防SQL注入的特征字符集: 复制代码 代码如下: <!--防SQL注入时的特征字符集--> <addkey="SqlKeyWord"value="select|insert|delete|from|count(|droptable|update|truncat...
三 PrePareStatement注入,DELETE和TRUNCATE
weixin_30454481的博客
01-01 434
PreparedStatement PreparedStatement是一个接口,它继承了Statement,该接口有以下几个优点: 性能比Statement高,会把sql预编译 可以解决sql注入问题 在sql语句中,使用?作为占位符来替代要传入的内容,通过调用PreparedStatement的setString等方法将要传入的内容作为参数传递过去。 、 DELE...
防范SQL注入式攻击~
^_^-Beluga, ^_^-Stefli
05-17 1670
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如: 如果你的查询语句是select * from admin where username="&user&" and password="&pwd&"" 那么,如果我的用户名是:1 or 1=1 那么,
【数据库】 防止sql注入,过滤敏感关键字
weixin_30588907的博客
11-21 306
private bool FilterIllegalChar(string sWord) { var result = false; var keyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec master...
Mybatis防止SQL注入
Jc0803kevin的专栏
07-13 2293
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
总之,虽然参数化查询是防止SQL注入的首选方法,但SqlFilter类提供了一个可行的补充方案,尤其适用于那些难以立即进行架构调整的老项目。通过在应用层面上增设此类过滤机制,可以有效地提升应用程序的安全性。当然,...
ASP.NET防止SQL注入的方法示例
01-20
为了防止SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他防御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
.NET防SQL注入方法
weixin_30940783的博客
06-13 327
.NET防SQL注入方法 SQL语句 利用SqlCommand传参数的方法: string strSQL="SELECT * FROM [user] WHERE user_id=@id"; SqlCommand cmd = new SqlCommand(); cmd.CommandText = strSQL; cmd.Parameters.Add("@id",SqlDbType.V...
java小项目 未来出行汽车租赁平台
xiaoyoukaoer的博客
09-06 322
未来出行汽车租赁平台是基于Java开发的汽车租赁管理系统,旨在为用户提供便捷的车辆租赁服务。系统包含用户管理、车辆管理、订单管理等功能模块,适用于小型企业或个人学习使用。
vue2(7)-单页应用程序&路由
Naiveyouzhi的博客
09-07 268
快速引入组件,也可以用绝对路径 基于@指代src目录,从src目录出发找组件。最大的原因是:页面按需更新 要按需更新,就要明确访问路径和组件的关系。类名太长可以在router,index.js里面配置。单页应用程序,之所以开发效率高,性能高,用户体验好。右边第三个框,是在main.js中导入的。5.声明式导航-导航链接。2.路由:路径和组件的映射关系。配组件 配规则,配导航 配出口。如 单页:网易云,多页:京东。6.声明式导航-两个链接。6.声明式导航-跳转传参。
大数据毕业设计选题推荐-基于大数据的贵州茅台股票数据分析系统-Spark-Hadoop-Bigdata
IT研究室的博客
09-07 997
本文介绍了基于Hadoop+Spark的贵州茅台股票数据分析系统,采用Python/Java语言开发,集成Django/Spring Boot后端与Vue前端,实现多维金融数据分析。系统核心功能包括价格趋势分析、成交量跟踪、波动性评估及技术指标验证,通过Spark SQL和Pandas处理海量交易数据,支持日均价格走势、价量相关性、MACD/RSI指标等深度挖掘。界面展示包含Echarts动态可视化图表,代码示例演示了Spark计算日均均价、20日均线及价格区间统计逻辑。
从Java全栈开发到微服务架构的实战经验分享
CatchLight的博客
09-09 764
应聘者:我认为最重要的是能够理解业务需求,并将其转化为技术方案。同时,持续学习新技术,保持对行业趋势的关注也很关键。毕竟,技术更新很快,只有不断学习才能跟上节奏。通过这次面试,我们可以看到一位资深Java全栈开发者的专业能力和实践经验。他不仅掌握了多种技术栈,还能在实际业务场景中灵活运用,解决实际问题。同时,他也展现了良好的沟通能力和学习能力,这些都是成为一名优秀工程师的关键素质。
从Java全栈到前端框架的实战之路
最新发布
CatchLight的博客
09-10 770
面试官我们会在几天内通知你面试结果。应聘者面试官:加油!期待你加入我们团队。Java版本:Java 11和Java 17,注重性能优化和新特性支持。JVM内存模型:理解堆、栈、方法区等组成部分。前端技术栈:Vue3和TypeScript,使用Element Plus进行UI开发。微服务架构:使用Spring Cloud和OpenFeign进行服务治理。数据库与ORM:MyBatis和JPA,根据项目需求选择合适框架。测试与调试。
JavaScript的功能和作用
2402_83164836的博客
09-10 331
JavaScript(简称 JS)是一种​​,最初设计用于为网页添加动态交互功能。经过多年发展,其应用场景已远超浏览器,成为覆盖前端、后端、移动端、桌面端甚至物联网等领域的“全场景语言”。
ASP防止SQL注入技术实现
"SQL注入 ASP防注入" ...防止SQL注入需要多层面的防护,包括编程实践、服务器配置以及持续的安全监控。以上代码提供了一个简单的示例,但在实际应用中应结合其他更强大的安全措施,以提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值