SQL SERVER 检查SQL条件参数中是否存在非法字符

最新推荐文章于 2021-04-08 02:23:11 发布
最新推荐文章于 2021-04-08 02:23:11 发布
阅读量3.9k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 数据库 SQL SERVER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yygzs2012/article/details/61915566
本文介绍了一个用于检测SQL注入攻击的T-SQL函数[F_TOOL_ValidateSQL]。该函数通过检查SQL字符串中的敏感关键字来判断其安全性,有效防止恶意操作。


CREATE function [dbo].[F_TOOL_ValidateSQL](@sql varchar(2048))
RETURNS INT
WITH EXECUTE AS CALLER
as
/*
检查SQL条件参数中是否存在非法字符,delete ,insert,update
*/
BEGIN
 declare @i int;
 set @sql=LOWER(@sql);
 set @i=charindex('delete',@sql)
  +charindex('update',@sql)
  +charindex('insert',@sql)
  +charindex('drop',@sql)
  +charindex('alter',@sql)
  +charindex('create',@sql)
  +charindex('sys',@sql)
  +charindex(';',@sql)
  +charindex('sp_',@sql);
 if(@i>0)
 begin
  return (1);
 end

 
 RETURN (0);
END
GO

检测数据表字段非法字符
08-09
检测数据表字段非法字符:官方正版工具,请放心使用啊
SQL Server查询中的特殊字符处理(C#代码)
06-14
当这些字符出现在查询参数中时,如果不进行适当的转义或包围,可能会导致SQL语句解析错误,甚至安全漏洞,如SQL注入。 ### C#代码实现特殊字符处理 为了解决上述问题,我们可以编写一个函数,该函数接收一个字符串...
关于SQL Server 存储过程的EXECUTE AS CALLER选项
weixin_34150224的博客
12-10 653
SQL 2005之前的版本相比,2005及之后的版本对数据库对象的管理及查询的执行上下文行为做了两个重要的改变: 1. 用户-架构(User-Schema)分离。即用户不再作为数据库对象的直接拥有者(owner),而是在数据库对象和用户之前加了一层schema。Schema即数据库对象的集合,用户可以拥有多个schema,每个用户有一个default schema。 2. 执...
SQL--查找某个内容有没有非法关键字
weixin_34289454的博客
09-17 340
declare @content varchar(200),@str varchar(50)declare @inum intdeclare @inum1 intselect @content='内容' select @inum=count(*) from 非法字 select @inum1=0while @inum>0beginselect @inum=@inum-...
Oracle SQL语句 之 查询姓名中是否非法字符
weixin_34232744的博客
02-06 3138
--查询姓名含非法字符SQL语句 SELECT * FROM TABLE_NAME t WHERE (REGEXP_LIKE(NAME, '[[:digit:]]+') OR REGEXP_LIKE(NAME, '[[:punct:]]')) AND NOT REGEXP_LIKE(NAME, '.*+\.^[\.]$') AND NOT REGEXP_LIK...
Sql Server中REPLACE函数的使用
09-10
在实际应用中,`REPLACE`函数常用于更新数据库表中的字段值,例如更新用户输入的数据,去除非法字符,或者统一格式等。配合其他SQL语句如`UPDATE`或`SELECT`,`REPLACE`能发挥强大的文本处理功能。 总结一下,`...
在IIS SQL Server中利用ISAPI ReWrite防SQL注入攻击.pdf
09-19
SQL注入攻击是指利用SQL语言的某些特性,通过在Web应用程序中构造特殊的输入,注入恶意SQL代码,从而实现非法获取、篡改数据库中数据的目的。由于大多数B/S架构的系统都依赖于数据库,尤其是像Microsoft SQL Server...
asp下过滤非法SQL字符的函数代码
10-29
接着定义了需要过滤的非法字符集合“strBadChar”,这些字符包含了很多在SQL语句中具有特定功能的符号,例如单引号(')、双引号(")、百分号(%)、和号(&)等。通过将这些字符用逗号分隔,创建了一个数组...
SQL Server中T-SQL 数据类型转换详解
12-16
请注意,即使有容错转换函数,也不能违反SQL Server中预定义的非法类型转换,如尝试将整数转换为日期,这仍然会导致错误。例如,尝试将整数转换为日期`TRY_CAST(1 AS DATE)`将会失败并抛出错误。 总结来说,SQL ...
sql server数字型字段,有非法字符的修复方法
WYZSC的专栏
01-15 3982
sql server数字型字段,有非法字符的修复方法   一、个人经验 字段设置 安段为数字类型,设置为允许为空时   现象 使用update等语句修改时,报有null值等错误   调整方法 update 表名 set 调整字段=null where isnumeric(调整字段)=0   二、网上文章 ISNUMERIC函数的作用 ISNUMERIC函数的作用是确定表
非法SQL语句
疯狂源代码
08-26 4492
合法/非法SQL文   1.   问题描述 'sSQL = "select * from student where id in (190)" 'sSQL = "select * from student where id in (190)" sSQL = "select * frrom student where id in (190,)" 给出以上三句示例,如何区分出以上哪个SQ
oracle如何查找非法字符,ORACLE存储过程判断非法字符
weixin_35547906的博客
04-08 876
---------------------------调用方法--验证非法字符isMg := fun_issensitivity(v_arr);if not isMg thenv_sendmsg := '很好,你的信息是正常的。';elsev_sendmsg := '对不起,您的信息含有敏感字,请修改后再发!';end if;---------------------------中间过程crea...
sql非法字符集过滤
冯斌
10-17 2264
  import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; i...
替换sql查询非法字符
java开发指南博客 【转载】
07-31 328
/// /// 替换非法字符 (杨军 06.9.6-11:52am) /// /// 需要检查字符串 /// string public static string ReplaceDangerCode (string Temp) { Temp = Temp.Replace("“”",""); Temp = Temp.Rep...
mysql脚本屏蔽安全提示_phpmyadmin导入sql提示”您的请求带有不合法参数,已被网站管理员设置拦截!“解决方法...
weixin_42110469的博客
02-19 2180
当我们导入mysql数据库时,如果提示”您的请求带有不合法参数,已被网站管理员设置拦截!“,截图如下:那是服务器上面的网站安全狗误以为是恶意攻击,此时我们只需要将phpmyadmin访问地址加入安全狗的主动防御里面的白名单即可。具体方法如下:远程登陆服务器,打开网站安全狗再选择主动防御,然后再选择白名单出现如下提示然后选择”+“选择自定义路径类型我们win2008环境版的,phpmyadmin默认...
C#数据库编程,SQL Server非法字符处理
yueqing的专栏
02-12 285
public string SqlConvert(string vSql){      vSql = vSql.Replace("'", "''");      return vSql;}用双引号替换掉单引号,因为单引号是非法字符
sql中字段名中包含特殊字符的查询方法
weixin_34355715的博客
12-21 5099
sql中字段名章包含特殊字符的查询方法:例如包含"",student表中字段为:id“学号”、name"姓名"。 解决办法:用英文下的"`"(Tab键上面那个键,不需要shift)把字段名包起来。如: select `id"学号"` from student where `id"学号"` = "201701"; 注释:把id"学号"包起来的不是英文单引号,而是英文 "...
SQL Server 触发器
ajwqb06628的专栏
07-05 235
SQL Server 触发器   触发器可以做很多事情,但也会带来很多问题。使用它的技巧在于在适当的时候使用,而不要在不适当的时候使用它们。   触发器的一些常见用途如下: 弹性参照完整性:实现很多DRI不能实现的操作(例如,跨数据库或服务器的参照完整性以及...
如何在无SQL Server Managment Studio环境下迁移SQL Server数据库
1. **检查现有安装**:在尝试将数据库迁移到其他PC前,应该检查目标PC是否已有SQL Server安装,以避免安装冲突。 2. **冲突可能性**:多个SQL Server实例在同一台机器上可能导致端口冲突或资源争用,需要在迁移前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值