2. 程式人生 > >過濾SQL關鍵字,防止SQL注入

過濾SQL關鍵字,防止SQL注入

阿新 發佈:2018-12-26

轉自https://blog.csdn.net/qq_26947857/article/details/80745655

定義一個方法進行關鍵字的過濾,方法中使用正則表示式過濾:

        ///<summary>
        /// 過濾字串中注入SQL指令碼的方法
        ///</summary>
        ///<param name="source">傳入的字串</param>
        ///<returns>過濾後的字串</returns>
        private static string SqlFilters(string source)
        {
            
            //半形括號替換為全形括號
            source = source.Replace("'", "'''");
            //去除執行SQL語句的命令關鍵字
            source = Regex.Replace(source, "select", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "insert", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "update", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "delete", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "drop", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "truncate", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "declare", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "xp_cmdshell", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "/add", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "net user", "", RegexOptions.IgnoreCase);
            //去除執行儲存過程的命令關鍵字 
            source = Regex.Replace(source, "exec", "", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "execute", "", RegexOptions.IgnoreCase);
            //去除系統儲存過程或擴充套件儲存過程關鍵字
            source = Regex.Replace(source, "xp_", "x p_", RegexOptions.IgnoreCase);
            source = Regex.Replace(source, "sp_", "s p_", RegexOptions.IgnoreCase);
            //防止16進位制注入
            source = Regex.Replace(source, "0x", "0 x", RegexOptions.IgnoreCase);
            return source;
        }

當然也可以新增自己想要的過濾正則,下面加入一個方法呼叫並返回過濾後的字串:

        ///<summary>
        /// 防注入過濾函式
        ///</summary>
        ///<param name="inputString">需要過濾字串</param>
        ///<returns>過濾後的字串</returns>
        public static string Filter(string inputString)
        {
            if (inputString != ""&&inputString!=null)
            {
                string sql = SqlFilters(inputString);
                if (sql == "")
                {
                    sql = "敏感字元";
                }
                return sql;
            }
            else
            {
                return inputString;
            }
        }

在我們做web開發的過程中,Web安全問題一直都是最大的隱患,網際網路的繁榮離不開網路安全,這是我們的機遇也是我們的挑戰。

相關推薦

過濾SQL關鍵字防止SQL注入

轉自https://blog.csdn.net/qq_26947857/article/details/80745655 定義一個方法進行關鍵字的過濾,方法中使用正則表示式過濾: ///<summary> /// 過濾字串中注入SQL指令碼的方法

jquery過濾特殊字元'sql注入

出自:  直接上程式碼: <script type="text/javascript" language="javascript"> $(document).ready(function() { //返回 $("#btnBack").click(

命名引數防止sql注入使用named parameter

使用named parameter String hql = "from BuildHibernate p where p.beimId= :beimId  ";         Query query = getSession().createQuery(hql);   

18)添加引號轉移函數防止SQL註入

factor isset art .com md5 ati 出錯 pri 取數據 目錄機構:      然後我的改動代碼:     MysqlDB.class.php      1 <?php 2 3 /** 4

【Statement和PreparedStatement有什麽區別?哪個性能更好?預編譯語句防止sql註入問題】

dstat () 驅動程序 對象 生成 from result 查詢語句 驅動 答:與Statement相比,①PreparedStatement接口代表預編譯的語句,它主要的優勢在於可以減少SQL的編譯錯誤並增加SQL的安全性(減少SQL註射攻擊的可能性);②Prepar

Android五種資料儲存方式之SQLite資料庫儲存 載入SD卡資料庫 sql操作 事務 防止SQL注入

資料庫 前言 資料庫儲存 資料庫建立 內建儲存資料庫 外接儲存資料庫 編寫DAO 插入操作 更新操作 刪除操作 查詢操作

c++連結SQL server SQL語句打印表中的記錄增加表中的記錄刪除表的欄位

#import "c:\Program Files\Common Files\System\ado\msado15.dll" no_namespace rename("EOF", "adoEOF") rename("BOF", "adoBOF") // 唯一的應用程式物件 CWinApp

SQLSQL查詢分析器查詢出來的結果匯出到EXCEL表格

1、使用Sql的匯出功能(比較專業,不會出錯) 在資料庫上右擊 【任務】--【匯出資料】--選擇源--選擇目標(型別選擇EXCEL)--選擇 查詢結果匯出 2、結果直接儲存(比較簡單,但是全是數字的字串可能會被自動轉換成數字) 在查詢分析器裡面執行SQL語句後選擇查詢的結果

dede模板中直接寫sql語句關聯sql呼叫

<div>{dede:php}$row = $GLOBALS['dsql']->GetOne("select id from dede_archives where typeid=4 order by rand() LIMIT 1"); $row2 = $GLOBALS['dsq

JS轉換HTML轉義符防止javascript注入攻擊親測可用

//去掉html標籤 1 2 3 function removeHtmlTab(tab) { return tab.replace(/<[^<>]+?>/g,'');//刪除所有HTML標籤 } //普通字元轉換

AOP實踐--ASP.NET MVC 5使用Filter過濾Action引數防止sql注入讓你程式碼安全簡潔

在開發程式的過程中,稍微不注意就會隱含有sql注入的危險。今天我就來說下,ASP.NET mvc 5使用Filter過濾Action引數防止sql注入,讓你程式碼安全簡潔。不用每下地方對引數的值都進行檢查,看是使用者輸入的內容是否有危險的sql。如果沒個地方都要加有幾個缺

MySQL— pymysql模組(防止sql注入視覺化軟體Navicat

一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模組 user = input('username: ') pwd = input('passwo

玩轉JDBC打造資料庫操作萬能工具類JDBCUtil加入了高效的資料庫連線池利用了引數繫結有效防止SQL注入

SELECT * FROM emp_test 成功查詢到了14行資料 第1行:{DEPT_TEST_ID=10, EMP_ID=1001, SALARY=10000, HIRE_DATE=2010-01-12, BONUS=2000, MANAGER=1005, JOB=Manager, NAME=張無忌}

淺析php過濾html字串,防止SQL注入的方法

本篇文章是對php中過濾html字串,防止SQL注入的方法進行了詳細的分析介紹,需要的朋友參考下   批量過濾post,get敏感資料 複製程式碼 程式碼如下: $_GET = stripslashes_array($_GET); $_POST = st

springboot-防止sql注入xss攻擊cros惡意訪問

springboot-防止sql注入,xss攻擊,cros惡意訪問 文章目錄 springboot-防止sql注入,xss攻擊,cros惡意訪問 1.sql注入 2.xss攻擊 3.csrf/cros 完

java 防止SQL注入 字串過濾

防止SQL注入,字串過濾關鍵字元 public class SQLFilterTest { public static void main(String[] args) {

SQL或HQL預編譯語句能夠防止SQL注入但是不能處理%和_特殊字元

最近專案在做整改,將所有DAO層的直接拼接SQL字串的程式碼,轉換成使用預編譯語句的方式。個人通過寫dao層的單元測試,有以下幾點收穫。 dao層程式碼如下 //使用了預編譯sql public Li

JDBC學習之路(三)防止SQL注入PreparedStatement探索

   現在登入註冊或者其他很多地方遇到使用者輸入的內容可以直接拿到資料庫內部去進行執行SQL語句,這個是一項很危險的運動,因為你不知道使用者會輸入什麼,如果使用者對SQL語句很熟悉,他就可以在輸入的時候加上''兩個冒號作為特殊字元,這樣的話會讓計算機認為他輸入的是SQL語句

asp.net中過濾非法字元防止SQL注入

  string UserName = FunStr(Request.Form["UserName"].ToString()); string UserPwd = FunStr(Request.Form["UserPwd"].ToString());  public sta

【Javaweb】後臺的字串轉義入庫之前記得先對字串轉義防止sql注入問題

在《【JavaScript】某些字元不轉義可以導致網頁崩潰與涉及轉義字元的顯示方法》(點選開啟連結)提及到一種表單之前,必須把表單的輸入框的內容轉義的方法,但是,其實這種字串的轉義更加應該放在後臺中進行。這樣同時能夠有效地防止sql注入的問題。 所謂的sql注入是什麼呢?比