通用的防止SQL注入代码

最新推荐文章于 2025-04-27 16:49:42 发布
最新推荐文章于 2025-04-27 16:49:42 发布
阅读量695 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: C#.net .NET 文章标签: sql javascript 数据库 each insert delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yaoxy/article/details/4091850

新建sqllin.asp网页文件,编写以下代码检查POST和GET方式提交的所有数据,如果发现有过滤字符,则显示弹出对话框,并中断程序的运行

<%
Dim   SQL_Post,SQL_Get,strFilter,aFilter,i
strFilter=" |;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" 
aFilter=split(strFilter,"|") 
If Request.Form<>"" Then  检查POST方式提交的数据
 For Each SQL_Post In Request.Form 
  For i=0 To Ubound(aFilter) 
  If Instr(LCase(Request.Form(SQL_Post)),aFilter(i))<>0 Then 
    此处可添加保存恶意攻击者的信息到数据库
   str=str & "<Script Language=JavaScript>"
   str=str & "alert( 请不要在参数中包含非法字符尝试注入攻击本站!/n/n"
   str=str & "本站已经记录了您的以下数据:/n/n"
   str=str & "操作IP:" & Request.ServerVariables("REMOTE_ADDR")&"/n/n"
   str=str & "操作时间:"& Now & "/n/n"
   str=str & "操作页面:"&Request.ServerVariables("URL")&"/n/n"
   str=str & "提交方式:POST/n/n"
   str=str & "提交参数:"& SQL_Post &"/n/n"
   str=str & "提交数据:"& Request.Form(SQL_Post)
   str=str & "</script>"
   Response.Write str
   Response.End
  End If 
  Next 
 Next 
End If 

If Request.QueryString<>"" Then  检查GET方式提交的数据
 For Each SQL_Get In Request.QueryString 
  For i=0 To Ubound(aFilter) 
  If Instr(LCase(Request.QueryString(SQL_Get)),aFilter(i))<>0 Then 
    此处可添加保存恶意攻击者的信息到数据库
   str= "<Script Language=JavaScript>"
   str=str & "alert( 请不要在参数中包含非法字符尝试注入攻击本站!/n/n"
   str=str & "本站已经记录了您的以下数据:/n/n"
   str=str & "操作IP:" & Request.ServerVariables("REMOTE_ADDR")&"/n/n"
   str=str & "操作时间:"& Now & "/n/n"
   str=str & "操作页面:"&Request.ServerVariables("URL")&"/n/n"
   str=str & "提交方式:GET/n/n"
   str=str & "提交参数:" & SQL_Post &"/n/n"
   str=str & "提交数据:" & Request.QueryString(SQL_Get) & " );"
   str=str & "</script>"
   Response.Write str
   Response.End
  End   If 
  Next 
 Next 
End If    
%>

在过滤字符串strFilter中可根据需要进行添加

在处理用户提交数据的页面首部包含sqlin.asp文件即可

<!--#include file=sqllin.asp-->

 

 

SQL注入以及注入代码
05-15
SQL注入以及注入代码
最新ASP通用SQL注入代码
10-13
标题"最新ASP通用SQL注入代码"指出这是一个针对ASP平台的最新安全更新,旨在防止SQL注入攻击。这个代码可能是经过优化和测试的,确保其在多种情况下都能有效SQL注入。 描述提到"这是经过整理和测试的,最新...
两个SQL注入过滤代码
巅峰测试
08-03 1037
 ASP通用注入代码 您可以把该代码COPY到头文件中.也可以单独作为一个文件存在,每次调用使用 作者:y3gu - 2005-7-29 http://www.dosu.cn
如何有效防止 SQL 注入攻击?
u013379032的博客
04-27 1023
ORM 框架(如 Hibernate、Django ORM、Sequelize)自动处理 SQL 转义,减少手写 SQL 的风险。SQL 注入SQL Injection)是黑客通过构造恶意输入,篡改 SQL 查询语句的攻击方式。:转义不如参数化查询安全,某些场景可能失效(如。如果必须拼接 SQL,确保转义特殊字符(如。使用参数化查询 + ORM 是黄金标准。,避免恶意输入被当作 SQL 执行。避免直接拼接 SQL 执行(如。:记录异常 SQL 查询(如。(如数字、邮箱、日期)。(只允许特定字符,如。
sql通用注入代码
rztyfx的专栏
11-20 1667
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
sql注入代码
weixin_30539835的博客
08-27 123
function defend_sql($string, $force = 1) { $preg = "select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile"; if(!get_magic_quotes_gpc() || $force) { ...
SQL通用注入程序
07-31 168
SQL通用注入程序 v3.1 最终纪念版 http://js.down.chinaz.com/Z2006O999/ÆäËüÀà±ð/FySqlX3.1.rar 用这个吧``里面有使用说明``很简单的`` neeao.txt文件里有说明,使用方法很简单,, 只要在需要注入的页面头部用 <!--#Include File="Neeao_SqlIn.Asp"-...
360提供的phpsql注入代码修改类
05-02
为了防止SQL注入,我们需要遵循以下原则: 1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据...
一个通用防止SQL注入系统的设计与实现.pdf
09-19
根据所提供的文件信息,这里详细说明了关于设计与实现一个通用防止SQL注入系统的关键知识点。 **SQL注入的形成与危害** 首先,文章指出SQL注入攻击之所以能够成功,很大程度上是因为程序员的编程水平不一。新手...
ASP源码—360通用ASP代码(sql注入).zip
10-14
综上所述,理解和应用360通用ASP代码对于任何ASP开发者来说都是至关重要的,它不仅可以防止SQL注入,还能帮助建立安全意识,提升整体的编程实践。在部署和维护ASP应用程序时,务必重视代码的安全性,确保用户...
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
因此,对用户输入进行严格的检查和过滤是防止SQL注入的关键。 二、Global.asax文件的角色 Global.asax文件是ASP.NET中的应用程序全局事件处理程序,它可以捕获和响应应用程序级别的事件,如请求开始、结束等。利用...
SQL注入的php代码
08-24
SQL注入的php,通用注入
java sql注入代码
05-11
很强大的SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
sql通用注入源码
07-07
sql通用注入,下载后做简单修改就可以使用。
SQL注入代码SQL注入代码
03-01
SQL注入代码SQL注入代码SQL注入代码SQL注入代码SQL注入代码SQL注入代码
360_safe3通用XSS/SQL注入代码ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入代码ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
.net sql注入代码
weixin_34122604的博客
07-01 135
网站不小心中招了,在网上整理了一个简单的注入方法,和大家分享 web.config文件调用 <httpHandlers> <add verb="*" path="*.aspx" validate="false" type="SqlIn.SqlInPost"/> </httpHandlers></syste...
SQL注入代码实现
lujunxuanlujunxuan的博客
04-09 615
SQL注入代码实现
sql注入代码 php,php sql注入程序代码
weixin_39613208的博客
03-10 253
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。根据相关技术原理,SQL注入可以分为平台层注入代码注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于...
jAVA 通用方法防止 sql 注入
最新发布
06-27
### ### 使用参数化查询防止 SQL 注入 在 Java 中,最有效的防止 SQL 注入的方法是使用 `PreparedStatement` 进行参数化查询。这种方式通过将用户输入作为参数绑定到预编译的 SQL 语句中,而不是直接拼接 SQL 字符串,从而避免恶意输入破坏 SQL 结构 [^2]。例如: ```java String sql = "SELECT * FROM users WHERE userid = ?"; try (Connection conn = dataSource.getConnection(); PreparedStatement stmt = conn.prepareStatement(sql)) { stmt.setString(1, userid); // 安全地绑定参数 ResultSet rs = stmt.executeQuery(); } ``` ### ### 避免使用字符串拼接 SQL 语句 手动拼接 SQL 查询字符串是非常危险的做法,容易导致 SQL 注入漏洞。例如以下代码存在注入风险: ```java String query = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(query); // 存在 SQL 注入风险 ``` 如果攻击者传入恶意构造的用户名或密码,可能导致数据库执行非预期的 SQL 操作 [^2]。 ### ### 在 ORM 框架中使用安全的参数占位符 对于使用 MyBatis 等 ORM 框架的情况,应优先使用 `#{}` 占位符来传递参数,而非 `${}`。`#{}` 会自动对参数进行预编译处理,而 `${}` 则是直接替换为原始值,容易引发 SQL 注入问题 [^4]。例如: ```xml <select id="selectUser" resultType="User"> SELECT * FROM users WHERE userid = #{userid} <!-- 推荐做法 --> </select> ``` ### ### 对输入数据进行校验和过滤 除了使用参数化查询外,还应对所有外部输入进行严格的验证。例如,对于数字类型的字段,确保输入为合法数字;对于字符串类型字段,限制特殊字符的使用。可以结合正则表达式进行格式校验,以增强安全性 [^1]。 ### ### 使用数据库连接池的安全特性 某些数据库连接池(如 Druid)提供了内置的 SQL 过滤功能,可以在一定程度上检测并拦截可疑的 SQL 输入。虽然这类机制不能完全替代参数化查询,但可以作为辅助护手段,在复杂场景下提供额外保障 [^4]。 ### ### 使用存储过程封装 SQL 逻辑 在特定业务场景中,可将 SQL 操作封装在数据库存储过程中,并通过参数化方式调用。由于存储过程内部逻辑固定,且参数通常经过严格校验,因此能有效降低 SQL 注入的可能性。 ### ### 引入安全框架与工具库 还可以借助 OWASP 提供的 SQL 注入御指南等资源,参考其推荐的最佳实践。此外,一些第三方库也提供了 SQL 注入护的功能,可用于增强应用的整体安全性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值