自定义防SQL注入函数

最新推荐文章于 2022-08-04 09:28:19 发布
最新推荐文章于 2022-08-04 09:28:19 发布
阅读量133 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zrp2013/p/3808477.html 
  /************************************************
    *SQL防注入函数
    *@time 2014年6月24日18:50:59
    *
    */
    public function safe_replace($string){
        $string = str_replace('%20','',$string);
        $string = str_replace('%27','',$string);
        $string = str_replace('%2527','',$string);
        $string = str_replace('*','',$string);
        $string = str_replace('"','"',$string);
        $string = str_replace("'",'',$string);
        $string = str_replace('"','',$string);
        $string = str_replace(';','',$string);
        $string = str_replace('<','&lt;',$string);
        $string = str_replace('>','&gt;',$string);
        $string = str_replace("{",'',$string);
        $string = str_replace('}','',$string);
        $string = str_replace("or","",$string);
        $string = str_replace("=","",$string);
        $string = str_replace("and","",$string);
        $string = str_replace("execute","",$string);
        $string = str_replace("update","",$string);
        $string = str_replace("count","",$string);
        $string = str_replace("chr","",$string);
        $string = str_replace("mid","",$string);
        $string = str_replace("master","",$string);
        $string = str_replace("truncate","",$string);
        $string = str_replace("char","",$string);
        $string = str_replace("declare","",$string);
        $string = str_replace("select","",$string);
        $string = str_replace("create","",$string);
        $string = str_replace("delete","",$string);
        $string = str_replace("insert","",$string);
        return $string;
    }

 

转载于:https://www.cnblogs.com/zrp2013/p/3808477.html

SQL注入御之三——SQL语句预处理(PHP)
心有猛虎,细嗅蔷薇!
08-26 8347
这篇文章将会告诉你,PHP怎么使用SQL语句预处理,预处理语句有什么优点,以及分析预处理语句如何SQL注入
微软数据库的SQL注入漏洞解析——Microsoft Access、SQLServer与SQL注入
CoffeMilk的博客
09-12 2381
一般进行SQL注入前,都需要对这些数据库所对应的程序寻找注入点,常见的SQL注入点一般存在于参数输入、输出的位置(如:注册登录、不同页码、参数内容的数据查询、不同页面切换、留言版等内容)。
Java数据库之SQL注入自定义线程池
MiChong的博客
10-18 563
一、SQL注入 SELECT * FROM student WHERE NAME = 'michong' AND passwd = '111' OR '1'='1'; 如上面的SQL语句,当密码不正确的时候也可以爆出数据库,所以必须止通过SQL注入爆出数据库 操作如下: 1、在SQL语句中使用占位符?: String sql = "select * from stud
解决自定义排序sql注入
qq_41913879的博客
06-27 1455
1、场景 : 页面列表需要按照指定列排序,前端向服务端传入排序参数,Sorted对象包含排序字段prop和排序方式order。例如要按照id倒序排序。前端传参{prop:"id",order:"desc"} ,后端接收后生产sql语句: select * from table1 order by id desc 看似没有问题,假如该接口被恶意攻击者知道,传入参数{prop:"id",order:...
SQL注入的五种方法
热门推荐
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
C#SQL注入代码的三种方法
09-04
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库,获取、修改、删除敏感信息,甚至完全控制服务器。在C#中,SQL注入主要有以下三种方法: 1. **避免直接拼接SQL语句** 直接...
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
本教程将详细讲解如何使用Global.asax文件来实现一个通用的SQL注入策略,以保护ASP.NET应用程序不受此类攻击。 一、SQL注入的原理与危害 SQL注入主要是利用了程序处理用户输入时未进行充分验证的漏洞。攻击者可以...
asp.net利用HttpModule实现sql注入
01-21
在标题所提及的"asp.net利用HttpModule实现sql注入"中,我们首先创建一个名为`SqlHttpModule`的类,该类实现了`IHttpModule`接口。`IHttpModule`接口提供了在ASP.NET应用程序中定义自定义模块的方法,这些模块可以...
SQL防注入.rar
04-05
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能充分验证或过滤用户输入的数据时,攻击者可以利用这种漏洞执行恶意的SQL语句,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。针对这一问题...
SQL注入进阶篇(一)
qq_46217803的博客
08-04 1780
信息搜集阶段:利用内置函数搜集信息数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)提权阶段:利用本身数据库的权限,或读写文件提权在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息SELECT schema_name from information_schema.SCHEMATA #查库。...
phpsql注入自定义函数
ning521513的博客
03-31 860
1.函数的构建       function inject_check($sql_str) {         returneregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);    // 进行过滤       }      
如何sql注入sql注入方法介绍
小小博客爱分享
08-18 7531
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
实现自定义Sql 注入
ystyaoshengting的专栏
10-24 1152
注入器配置 全局配置sqlInjector用于注入ISqlInjector接口的子类,实现自定义方法注入。 参考默认注入器DefaultSqlInjecto QL 自动注入器接口ISqlInjector public interface ISqlInjector { /** * <p> * 检查SQL是否注入(已经注入过不再注入) * </p> * * @param builderAssistant ma...
SQL注入,很详细
m0_63683040的博客
04-20 3107
SQL注入(数字、UNION、字符型、布尔盲注、时间、报错、堆叠) SQL注入漏洞的方法 1.数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,这是一个get型接口,发送这个请求相当于调用一个查询语句: PHP源码: $sql = "SELECT * FROM database_name WHERE id =",$_GET[‘id’] 在浏览器地址栏输入:learn.me/sql/article.php?id=2-...
SQL注入的方法和最优解
weixin_39210100的博客
12-28 2万+
SQL注入的方法和最优解      学习慕课网的WEB安全之SQL注入课程后和百度相关文章后的总结,主要为解决 思路,相关操作自行到慕课网观看。 一、存在问题 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不 同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web 表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6845
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
springboot尿毒症健康管理系统的设计与实现论文
最新发布
08-12
springboot尿毒症健康管理系统的设计与实现
python 列表文本转表格
08-12
python
使用SQL函数去除HTML标签:预SQL注入的方法
函数在更新数据库表中关于内容字段(如`setContent`)时,可以作为预处理步骤使用,以止恶意用户利用SQL注入插入或修改HTML标签,确保数据在存储和展示时的安全性。通过这种方式,开发人员可以避免潜在的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值