过滤sql特殊字符及预防sql注射

最新推荐文章于 2022-06-06 16:12:11 发布
最新推荐文章于 2022-06-06 16:12:11 发布
阅读量1.2k 收藏
点赞数
分类专栏: 技术沉淀
本文介绍了一种有效的SQL注入攻击防护方案,通过详细说明多种过滤和替换策略,帮助开发者理解和实施安全措施来保护应用程序免受SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

西安羚羊网络技术文档

1.过滤不安全的字符串
    /// <summary> 
    /// 过滤不安全的字符串
    /// </summary> 
    /// <param name="Str"></param> 
    /// <returns></returns> 
    public static string FilteSQLStr( string Str)
    {
        Str = Str.Replace( " ' " "" );
        Str = Str.Replace( " /" " "" );
        Str = Str.Replace( " & " " &amp " );
        Str = Str.Replace( " < " " &lt " );
        Str = Str.Replace( " > " " &gt " );
        Str = Str.Replace( " delete " "" );
        Str = Str.Replace( " update " "" );
        Str = Str.Replace( " insert " "" );
        return Str; 
    }

2.过滤 Sql 语句字符串中的注入脚本

/// <summary> 
        /// 过滤 Sql 语句字符串中的注入脚本
        /// </summary> 
        /// <param name="source"> 传入的字符串 </param> 
        /// <returns> 过 滤后的字符串 </returns> 
        public static string SqlFilter( string source)
        {
            // 单引号替换成两个单引号 
            source = source.Replace( " ' " " '' " );

            // 半角封号替换为全角封号,防止多语句执行 
            source = source.Replace( " ; " "  " );

            // 半角括号替换为全角括号 
            source = source.Replace( " ( " "  " );
            source = source.Replace( " ) " "  " );

            /////////////// 要用正则表达式替换,防止字母大小写得情况 ////////////////// // 

            // 去除执行存储过程的命令关键字 
            source = source.Replace( " Exec " "" );
            source = source.Replace( " Execute " "" );

            // 去除系统存储过程或扩展存储过程关键字 
            source = source.Replace( " xp_ " " x p_ " );
            source = source.Replace( " sp_ " " s p_ " );

            // 防止16进制注入 
            source = source.Replace( " 0x " " 0 x " );

            return source;
        }

2.过滤 Sql 字符

/// 过滤SQL字符。
        /// </summary> 
        /// <param name="str"> 要过滤SQL字符的字符串。 </param> 
        /// <returns> 已过滤掉SQL字符的字符串。 </returns> 
        public static string ReplaceSQLChar( string str)
        {
            if (str == String.Empty) return String.Empty; 

    str = str.Replace( " ' " "  " );
            str = str.Replace( " ; " "  " );
            str = str.Replace( " , " " , " );
            str = str.Replace( " ? " " ? " );
            str = str.Replace( " < " "  " );
            str = str.Replace( " > " "  " );
            str = str.Replace( " ( " " ( " );
            str = str.Replace( " ) " " ) " );
            str = str.Replace( " @ " "  " );
            str = str.Replace( " = " "  " );
            str = str.Replace( " + " "  " );
            str = str.Replace( " * " "  " );
            str = str.Replace( " & " "  " );
            str = str.Replace( " # " "  " );
            str = str.Replace( " % " "  " );
            str = str.Replace( " $ " "  " );

            return str;
        } 

4.

过滤标记

/// <summary> 

/// 过滤标记

/// </summary> 

/// <param name="NoHTML"> 包括HTML,脚本,数据库关键字,特殊字符的源码 </param> 

/// <returns> 已经去除标记后的文字 </returns> 

public string NoHtml( string Htmlstring)

{

    if (Htmlstring == null )

    {

        return "" ;

    }

    else 

    {

        // 删除脚本 

         Htmlstring = Regex.Replace(Htmlstring, @" <script[^>]*?>.*?</script> " , "" , RegexOptions.IgnoreCase);

        // 删除HTML 

        Htmlstring = Regex.Replace(Htmlstring, @" <(.[^>]*)> " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" ([/r/n])[/s]+ " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" --> " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" <!--.* " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(quot|#34); " , " /" " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(amp|#38); " , " & " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(lt|#60); " , " < " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(gt|#62); " , " > " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(nbsp|#160); " , " " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(iexcl|#161); " , " /xa1 " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(cent|#162); " , " /xa2 " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(pound|#163); " , " /xa3 " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &(copy|#169); " , " /xa9 " , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, @" &#(/d+); " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " xp_cmdshell " , "" , RegexOptions.IgnoreCase);


        // 删除与数据库相关的词 

         Htmlstring = Regex.Replace(Htmlstring, " select " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " insert " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " delete from " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " count'' " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " drop table " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " truncate " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " asc " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " mid " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " char " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " xp_cmdshell " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " exec master " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " net localgroup administrators " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " and " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " net user " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " or " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " net " , "" , RegexOptions.IgnoreCase);

        // Htmlstring = Regex.Replace(Htmlstring, "*", "", RegexOptions.IgnoreCase); 

        Htmlstring = Regex.Replace(Htmlstring, " - " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " delete " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " drop " , "" , RegexOptions.IgnoreCase);

        Htmlstring = Regex.Replace(Htmlstring, " script " , "" , RegexOptions.IgnoreCase);


        // 特殊的字符 

         Htmlstring = Htmlstring.Replace( " < " , "" );

        Htmlstring = Htmlstring.Replace( " > " , "" );

        Htmlstring = Htmlstring.Replace( " * " , "" );

        Htmlstring = Htmlstring.Replace( " - " , "" );

        Htmlstring = Htmlstring.Replace( " ? " , "" );

        Htmlstring = Htmlstring.Replace( " ' " , " '' " );

        Htmlstring = Htmlstring.Replace( " , " , "" );

        Htmlstring = Htmlstring.Replace( " / " , "" );

        Htmlstring = Htmlstring.Replace( " ; " , "" );

        Htmlstring = Htmlstring.Replace( " */ " , "" );

        Htmlstring = Htmlstring.Replace( " /r/n " , "" );

        Htmlstring = HttpContext.Current.Server.HtmlEncode(Htmlstring).Trim();


        return Htmlstring;

   }

}

5.判断字符传中是否包含sql注射语句

public static bool CheckBadWord( string str)

{

string pattern = @" select|insert|delete|from|count/(|drop table|update|truncate|asc/(|mid/(|char/(|xp_cmdshell|exec   master|netlocalgroup administrators|net user|or|and " ;

//使用正则表达式(胡虐大小写)判断是否包含 以上字符 

if  (Regex.IsMatch(str, pattern, RegexOptions.IgnoreCase)) return   true  ;
 return   false  ;
 }
 public   static   string  Filter(  string  str)
 {
 string  [] pattern = {  "   select   "  ,  "   insert   "  ,  "   delete   "  ,  "   from   "  ,  "   count//(   "  ,  "   drop table   "  ,  "   update   "  ,  "   truncate   "  , "   asc//(   "  ,  "   mid//(   "  ,  "   char//(   "  ,  "   xp_cmdshell   "  ,  "   exec   master   "  ,  "   netlocalgroup administrators   "  ,  "   net user   " "   or   "  ,  "   and   "  };
 for  (  int  i =  0  ; i < pattern.Length; i ++ )
 {
 str = str.Replace(pattern[i].ToString(),  ""  );
 }
 return  str;

}


SQL入原理及预防SQL入的方法
m0_58816585的博客
05-31 1536
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露。下面要为大家介绍的是SQL入,对于sql入,相信程序员都知道或者使用过,如果没有了解或完全没有听过也没有关系,我们可以通过下面来一起学习下。 什么是sql入? sql入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(
LBS blog sql注射漏洞[All version]-官方已有补丁
10-30
### LBS Blog SQL入漏洞详解及官方补丁分析 #### 漏洞概述 SQL入是一种常见的Web应用程序安全漏洞,攻击者通过将恶意SQL代码插入应用程序的查询中,以达到非法获取数据、篡改数据或者破坏数据库的目的。本文将...
SQL优化通用类/特殊字符过滤/优化查询排序/异常记录
09-12
SQL/SqlParameter特殊字符过滤/优化查询排序/异常记录row_number()over(order by {1})as row 排序 not in 排序 SQL查询、更新、插入、分页排序,存储过程调用
java 过滤sql特殊字符_JAVA中过滤特殊字符预防SQL
weixin_29938009的博客
02-16 896
packagecn.com.hbivt.util;public classStringUtils {//过滤通过页面表单提交的字符private static String[][] FilterChars={{"",">"},{" ",""},{"\"","""},{"&","&"},{"/","/"},{"\\","\"},{"\n",""}};//过滤通过javascr...
SQLSQL 入攻击和预防
我的笔记本
04-06 837
预防SQL攻击措施 如何预防SQL入? 这是开发人员应该思考的问题,作为测试人员,了解如何预防SQL入,可以在发现入攻击bug时,对bug产生原因进行定位。 1)严格检查输入变量的类型和格式 对于整数参数,加判断条件:不能为空、参数类型必须为数字 对于字符串参数,可以使用正则表达式进行过滤:如:必须为[0-9a-zA-Z]范围内的字符串 2)过滤和转义特殊字符 在user...
SQL去掉字段中的特殊字符
mumudaiaomuwu的博客
06-06 6779
我通过csv导入数据后,发现表中的数据却查不出来,原来是因为字段中含有换行符这些特殊字符了,把它们去掉就能正常查询了。去除水平制表符(tab键 或者 \t): 去除回车符(Enter键) 去除换行符(\n): 一块去除Tab 符、换行符、回车符:...
C# 过滤sql特殊字符串方法
weixin_34132768的博客
06-08 320
1. ///<summary>///过滤不安全的字符串///</summary>///<param name="Str"></param>///<returns></returns>publicstaticstringFilteSQLStr(stringSt...
浅析白盒审计中的字符编码及SQL注射1
08-03
3. 使用参数化查询,即使在字符串中插入特殊字符,也不会影响SQL语句的结构。 4. 避免在SQL语句中直接使用未经验证的用户输入,而是先进行适当的清理和过滤。 总之,理解字符编码和其在SQL入中的作用是进行有效...
dvbbs 8.2 SQL Injection注射漏洞分析
09-06
这个设计上的缺陷在于,未经处理的unescape解码操作可能允许特殊字符如%2527(等同于')通过,从而导致SQL入。 修补方案相对简单,只需在解码后再次进行检查。将代码修改为:在使用unescape解码用户名之后,再次...
使用Python防止SQL入攻击的实现示例
09-16
为了防止SQL入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接进SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
sql入Java过滤
11-10
配置在web.xml中,可以防止SQL入,可以自己定义一些需要过滤特殊字符
asp中常用的字符串安全处理函数集合(过滤特殊字符等)
10-28
在asp编写中,我们需要特殊字符串的处理,防止被黑客利用。使用asp的朋友一定要参考下。
SQL必知必会—用通配符进行过滤
yangyang的专栏
04-11 1287
SQL必知必会》读书笔记 源码地址: https://github.com/thinkingfioa/Notes/tree/master/sql/SQL%E5%BF%85%E7%9F%A5%E5%BF%85%E4%BC%9A4/sources/mysql_scripts 直接复制源码会可能产生错误:设置navicat数据库主键自增 1062报错以及result in duplica...
过滤非法字符工具类
lc522084578的专栏
08-09 467
package com.ttp.service.system.goods; import java.net.URLEncoder; /**  * 过滤非法字符工具类  *   */ public class EncodeFilter {     //过滤大部分html字符     public static String encode(String input) {         if (...
SQL过滤
Truong的专栏
10-12 955
public static String filParam(String param) {   if (param== null) {    param= "";   }else {    param= param.replaceAll("", ">");    param= param.replaceAll("\\(", "(").replaceAll("\\)", "&
SQLSQL入 - SpringBoot配置SQL过滤
C3Stones
09-17 2688
1. SQLSQL入   风险:可能会查看、修改或删除数据库条目和表。原因: 未对用户输入正确执行危险字符清理。固定值: 查看危险字符入的可能解决方案。 2. pom.xml添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spr...
java 过滤sql特殊字符_防止特殊字符SQL入实现方案
weixin_33356324的博客
02-25 2001
先理解所谓SQL入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL入问题已经是老生常谈的问题了,如何避免特殊字符SQL入,下面为大家介绍一种相对比较实用并且很简单的方式。如果是通过"yoodb.com/login?param=素文宅"传递参数,我们需要把中文转码,在传参数时先把参数进行转码,具体代码:java.net...
SQL
nigo134的博客
03-22 4988
分类: 从入参数类型分:数字型入、字符型入、搜索型入 从入方法分:基于报错、基于布尔、基于时间、联合查询、堆叠入、内联查询入、宽字节入 从提交方式分:GET入、POST入、COOKIE入、HTTP头入 mysql 5.0 入 区别_SQL入的那些面试题总结_苏爽爽的博客-优快云博客 ...
过滤SQL特殊字符
01-17 2199
过滤sql特殊字符方法集合 1. ///      /// 过滤不安全的字符串     ///      ///      ///      public static string FilteSQLStr(string Str)     {         Str = Str.Replace("'", "");         Str = Str.Replace(
WSI v5.0.182 SQL入工具发布及使用手册
SQL注射是一种常见的网络安全漏洞,攻击者通过在Web表单输入或页面请求的查询字符串中插入恶意的SQL代码,从而达到操作后端数据库的目的。此行为可能造成敏感数据泄露、数据篡改、访问控制破坏等安全问题。 【知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值