JS和C#分别防注入代码
时间:2020-02-02来源:系统城作者:电脑系统城
如果你的查询语句是select * from admin where username=''''"&user&"'''' and password=''''"&pwd&"''''"
那么,如果我的用户名是:1'''' or ''''1''''=''''1
那么,你的查询语句将会变成:
select * from admin where username=''''1 or ''''1''''=''''1'''' and password=''''"&pwd&"''''"
这样你的查询语句就通过了,从而就可以进入你的管理界面。
所以防范的时候需要对用户的输入进行检查。特别是一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特殊字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
''''
:
"
insert
delete from
drop table
update
truncate
from
%
js版的防范SQL注入式攻击的两段代码~:
[CODE START]
<script language="javascript">
<!--
var url = location-.search;
var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\"|:|net%20user|\''''|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有非法字符~");
location-href="error.asp";
}
//-->
<script>
登陆和密码输入判断
//防止非法字符串注入
function checkuseravoid(str){
var inj_str="‘|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
var sarray=new Array();
sarray=inj_str.split('|');
for (var i=0 ;i <inj_stra.length ;i++ ) {
if (str.indexOf(inj_stra)>=0)
return true;
}
return false;
}
[CODE END]
asp版的防范SQL注入式攻击代码~:
[CODE START]
<%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"''''") or Instr(strTemp,"%20or%20") then
Response.Write "<script language=''''javascript''''>"
Response.Write "alert(''''非法地址!!'''');"
Response.Write "location-href=''''error.asp'''';"
Response.Write "<script>"
End If
%>
[CODE END]
C# 检查字符串,防SQL注入攻击
这个例子里暂定为=号和''''号
bool CheckParams(params object[] args)
{
string[] Lawlesses={"=","''''"};
if(Lawlesses==null||Lawlesses.Length<=0)return true;
//构造正则表达式,例:Lawlesses是=号和''''号,则正则表达式为 .*[=}''''].* (正则表达式相关内容请见MSDN)
//另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
string str_Regex=".*[";
for(int i=0;i< Lawlesses.Length-1;i++)
str_Regex+=Lawlesses+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
foreach(object arg in args)
{
if(arg is string)//如果是字符串,直接检查
{
if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false;
}
else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
{
foreach(object obj in (ICollection)arg)
{
if(obj is string)
{
if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;
那么,如果我的用户名是:1'''' or ''''1''''=''''1
那么,你的查询语句将会变成:
select * from admin where username=''''1 or ''''1''''=''''1'''' and password=''''"&pwd&"''''"
这样你的查询语句就通过了,从而就可以进入你的管理界面。
所以防范的时候需要对用户的输入进行检查。特别是一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特殊字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
''''
:
"
insert
delete from
drop table
update
truncate
from
%
js版的防范SQL注入式攻击的两段代码~:
[CODE START]
<script language="javascript">
<!--
var url = location-.search;
var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\"|:|net%20user|\''''|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有非法字符~");
location-href="error.asp";
}
//-->
<script>
登陆和密码输入判断
//防止非法字符串注入
function checkuseravoid(str){
var inj_str="‘|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
var sarray=new Array();
sarray=inj_str.split('|');
for (var i=0 ;i <inj_stra.length ;i++ ) {
if (str.indexOf(inj_stra)>=0)
return true;
}
return false;
}
[CODE END]
asp版的防范SQL注入式攻击代码~:
[CODE START]
<%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"''''") or Instr(strTemp,"%20or%20") then
Response.Write "<script language=''''javascript''''>"
Response.Write "alert(''''非法地址!!'''');"
Response.Write "location-href=''''error.asp'''';"
Response.Write "<script>"
End If
%>
[CODE END]
C# 检查字符串,防SQL注入攻击
这个例子里暂定为=号和''''号
bool CheckParams(params object[] args)
{
string[] Lawlesses={"=","''''"};
if(Lawlesses==null||Lawlesses.Length<=0)return true;
//构造正则表达式,例:Lawlesses是=号和''''号,则正则表达式为 .*[=}''''].* (正则表达式相关内容请见MSDN)
//另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
string str_Regex=".*[";
for(int i=0;i< Lawlesses.Length-1;i++)
str_Regex+=Lawlesses+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
//
foreach(object arg in args)
{
if(arg is string)//如果是字符串,直接检查
{
if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false;
}
else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查
{
foreach(object obj in (ICollection)arg)
{
if(obj is string)
{
if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;
分享到:
相关信息
-
-
-
2022-10-22
syswow64误删了解决方法 -
2022-10-22
syswow64病毒解决方法 -
2022-05-09
使用kali如何破解wifi密码的方式教程
-
-
360安全卫士摄像头防护怎么设置为免打扰模式?360安全卫士摄像头防护怎么设置为免打扰模式?电脑都安装了360安全卫士保护电脑,想要开启摄像头防护,该怎么操作呢?下面我们就来看看详细的教程,需要的朋友可以参考下...
2022-03-03
-
希沃管家开启冰点还原功能图文教程 希沃管家怎么用希沃管家怎么用?希沃管家具有冰点原还功能,那么,我们该如何开启“冰点还原”功能呢?下文中为大家带来了希沃管家开启冰点还原功能图文教程。感兴趣的朋友不妨阅读下文内容,参考一下吧...
2022-03-03
热门系统总排行
- 3091次 1 雨林木风Win10专业版64位纯净版系统官方下载
- 2650次 2 电脑公司ghost win7 64位纯净专业版v2019.08
- 1749次 3 深度技术 GHOST WIN10 X64 纯净版 V2019.09(64位)
- 1356次 4 电脑系统城ghost win7 sp132位 经典标准版 V2019.11
- 1350次 5 Win11官方最新版系统下载_Ghost Win11 22000.434(KB5009566)专业免激活版下载
- 1271次 6 电脑公司ghost win7 32位精简旗舰版v2019.08
- 1270次 7 电脑公司 GHOST WIN10 X64 正式专业版 V2019.09(64位)
- 1261次 8 电脑公司 GHOST XP SP3 安全稳定纯净版 V2019.08
系统教程栏目
栏目热门教程
- 2447次 1 希沃管家卸载教程及卸载密码分享 希沃管家怎么卸载
- 1529次 2 局域网管理利器--大势至远程开关机工具
- 1411次 3 火绒安全设置U盘控制教程 火绒安全中阻止U盘控制怎么办
- 1110次 4 希沃管家开启冰点还原功能图文教程 希沃管家怎么用
- 740次 5 FastReader快解密码读取软件使用教程 fastreader怎么使用?
- 694次 6 局域网共享文件只读不存、共享文件只读不能复制设置法
- 617次 7 IIS 短文件/文件夹漏洞修复方法
- 608次 8 IPsec系列—使用Winserver服务器给自己颁发证书
- 598次 9 火绒安全关闭防火墙教程 火绒安全如何关闭防火墙?
- 539次 10 使用ACL限制FTP访问权限示例
人气教程排行
- 50049次 1 联想笔记本进入bios的三种方法 联想笔记本怎么进入bios
- 47587次 2 打印机为什么打印出来是黑的_打印出来纸张表面黑的解决方法
- 38021次 3 笔记本电脑序列号在哪|笔记本电脑序列号怎么看
- 30229次 4 对于目标文件系统文件过大无法复制到u盘怎么解决方法
- 29322次 5 mac连上wifi却上不了网如何解决 网络没问题但mac无法上网怎么办
- 23103次 6 电脑免费的加速器有哪些 永久免费的四款加速器推荐
- 20506次 7 小马激活工具 Win10正版激活 一键完美激活Win10_小编亲测
- 18819次 8 打印机显示休眠不打印怎么办 打印机深度休眠不打印解决方法
- 17556次 9 鲁大师跑分100万什么水平 鲁大师跑分多少算好电脑
- 15924次 10 win10系统更新到57%出现死机的原因和解决方法
站长推荐
- 8811次 1 Win11怎么激活?Win11系统永久激活方法汇总(附激活码)
- 5470次 2 联想拯救者win10一键恢复如何使用_联想win10一键还原孔使用方法
- 3824次 3 联想电脑开机出现PXE-MOF:Exiting Intel PXE ROM怎么解决
- 3753次 4 怎么在u盘pe下给电脑系统安装ahci驱动
- 3115次 5 华硕笔记本bios utility ez mode设置图解以及切换成传统bios界面方法华硕笔记本bios utility ez mode设置图解以及切换成传统bios界面方法
- 3042次 6 如何用u盘装系统?用系统城U盘启动制作盘安装Win10系统教程
- 2587次 7 win10怎么改为uefi启动_win10系统设置uefi启动模式的方法
- 1527次 8 CentOS 8 系统图形化安装教程(超详细)
- 1461次 9 VMware中安装Linux系统(Redhat8)及虚拟机的网络配置方法
- 1416次 10 win10系统下检测不到独立显卡如何解决
热门系统下载
- 3310次 1 网吧游戏专用Win7 Sp1 64位免激活旗舰版 V2021.05
- 3091次 2 雨林木风Win10专业版64位纯净版系统官方下载
- 2957次 3 Windows Server 2019 官方原版系统64位系统下载
- 2698次 4 电脑公司ghost win10 64位游戏专用精简网吧版v2020.05
- 2650次 5 电脑公司ghost win7 64位纯净专业版v2019.08
- 2549次 6 Windows Server 2008 简体中文官方原版32位系统下载
- 2242次 7 系统之家win7系统安装盘_系统之家ghost win7 64位免激活专业网吧专业完整版v2021.05下载
- 2055次 8 UOS Desktop home 20 (1010)桌面个人版(64位)系统下载
