『壹』 防sql注入到底應過濾哪些字元
一般來說,這樣處理即可:
所有參數都當作字元串處理,用單引號括起來。另外就是要把字元串中的單引號替換掉。
『貳』 sql注入過程中單引號和多個關鍵字被過濾怎麼辦
很高興回答你的問題
SQL注入成功機率和選擇注入目標程序安全性有直接關系.單就你的問題和你的思路來說的話,你還可嘗試利用 ANSI 字元代碼變體來達到目的 比如 " 號對應 chr(34) .
是否成功取決於他本身程序是否也做了過濾.
另:還有很多方法同樣可以達到目的的.比如旁註、跨站、截取cookie 等
『叄』 求教高手------Asp。Net中如何防止SQL注入,即如何過濾關鍵字
替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,"select * from Users where login = 』』』 or 』』1』』=』』1』 AND password = 』』』 or 』』1』』=』』1』"顯然會得到與"select * from Users where login = 』』 or 』1』=』1』 AND password = 』』 or 』1』=』1』"不同的結果。
刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如"select * from Users where login = 』mas』 —— AND password =』』"之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。using System;
using System.Text.RegularExpressions;
class Test
{
static void Main()
{
Regex r = new Regex("admin|super|root");
string username = "I_am_admin";
if (r.IsMatch(username))
{
Console.WriteLine("不合法的用戶名");
}
}
}
這是一個簡單的小例子,你可以仿照這樣去做
『肆』 求教高手------Asp。Net中如何防止SQL注入,即如何過濾關鍵字
最簡單的方法
你用ORM來做
就不存在SQL語句了
比如.net
3.5以後的linq
就是不錯的辦法
『伍』 如何防止SQL注入漏洞
1、過濾掉一些常見的資料庫操作關鍵字:select,insert,update,delete,and,*等
或者通過系統函數:addslashes(需要被過濾的內容)來進行過濾。
2、在PHP配置文件中
Register_globals=off;設置為關閉狀態 //作用將注冊全局變數關閉。
比如:接收POST表單的值使用$_POST['user'],如果將register_globals=on;直接使用$user可以接收表單的值。
3、SQL語句書寫的時候盡量不要省略小引號(tab鍵上面那個)和單引號
4、提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,取不易被猜到的
5、對於常用的方法加以封裝,避免直接暴漏SQL語句
6、開啟PHP安全模式
Safe_mode=on;
7、打開magic_quotes_gpc來防止SQL注入
Magic_quotes_gpc=off;默認是關閉的,它打開後將自動把用戶提交的sql語句的查詢進行轉換,把'轉為\',這對防止sql注入有重大作用。
因此開啟:magic_quotes_gpc=on;
8、控制錯誤信息
關閉錯誤提示信息,將錯誤信息寫到系統日誌。
9、使用mysqli或pdo預處理
『陸』 如何關閉bootstrap里的sql注入過濾
1. 建議關閉或刪除不必要的互動式提交表單頁面,因為他們是黑客進行SQL注入的途徑,關閉這些互動式頁面可有效的阻止某些XSS跨站腳本的攻擊與注入。而最有效的防治注入及跨站腳本攻擊的方法,是在代碼層就屏蔽掉不安全的script等危險字元。
2.. 對漏洞注入點相關代碼進行代碼及SQL注入關鍵字的過濾,以規范代碼安全性。
3. 不要在伺服器端放置備份的文件以免受到感染,或備份的文件含有漏洞,造成切入點,比如index1.asp index2.asp procts1.asp等。
『柒』 如何過濾SQL注入
如何過濾SQL注入
替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。
『捌』 sql注入 form過濾怎麼繞過
我常用的三種方法:
1,參數過濾,過濾掉 單引號,or,1=1 等類似這樣的 。
2,使用 參數化方法格式化 ,不使用拼接SQL 語句。
3,主要業務使用存儲過程,並在代碼里使用參數化來調用(存儲過程和方法2結合)