防止sql注入

最新推荐文章于 2025-06-03 11:51:41 发布
最新推荐文章于 2025-06-03 11:51:41 发布
阅读量377 收藏
点赞数
文章标签: sql string application email class null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peter824/article/details/2169094
版权

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。

     做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

     一、数据验证类:parameterCheck.cs 

     

public   class  parameterCheck
 {
            public static bool isEmail(string emailString)
            {
                return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['/w_-]+(/.['/w_-]+)*@['/w_-]+(/.['/w_-]+)*/.[a-zA-Z]{2,4}");
            }
            public static bool isInt(string intString)
            {
                return System.Text.RegularExpressions.Regex.IsMatch(intString, "^(/d{5}-/d{4})(/d{5})$");
            }
            public static bool isUSZip(string zipString)
            {
                return System.Text.RegularExpressions.Regex.IsMatch(zipString, "^-[0-9]+$^[0-9]+$");
            }
}

 

     二、Web.config

     在你的Web.config文件中,在<appSettings>下面增加一个标签:如下 

     以后需要修改的时候我们只需要修改以上三个文件,对整个系统的维护将会大大提高效率,当然你可以根据自己的需要增加其它的变量参数和数据类型。 

< appSettings >   < add  key ="safeParameters"  value ="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip"   />   </ appSettings >  


     其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

     三、Global.asax

     在Global.asax中增加下面一段: 

     

protected   void  Application_BeginRequest(Object sender, EventArgs e)
         {
            String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
            for (int i = 0; i < safeParameters.Length; i++)
            {
                String parameterName = safeParameters[i].Split('-')[0];
                String parameterType = safeParameters[i].Split('-')[1];
                isValidParameter(parameterName, parameterType);
            }
        }

         public   void  isValidParameter( string  parameterName,  string  parameterType)
         {
            string parameterValue = Request.QueryString[parameterName];
            if (parameterValue == null)
                return;
            if (parameterType.Equals("int32"))
            {
                if (!parameterCheck.isInt(parameterValue))
                    Response.Redirect("parameterError.aspx");
            }
            else if (parameterType.Equals("double"))
            {
                if (!parameterCheck.isDouble(parameterValue))
                    Response.Redirect("parameterError.aspx");
            }
            else if (parameterType.Equals("USzip"))
            {
                if (!parameterCheck.isUSZip(parameterValue))
                    Response.Redirect("parameterError.aspx");
            }
            else if (parameterType.Equals("email"))
            {
                if (!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
            }
        }

 

 

PHP如何防止SQL注入攻击?
破损的天堂鸟博客
07-19 1286
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
sql 整改措施 注入_改进的SQL注入(加强抑错)-ASP教程,安全加密
weixin_33609020的博客
01-12 146
asp防注入之解决方案特殊页面处理因为有些页通过流式传递(比如含有文件上传的表单)如果单一使用穷举form对象的操作就会出错所以要把这些页面过滤出来,同时在页面中使用sql(“检测的字串”)才行垃圾猪zero@new57.comhttp://blog.csdn.net/cfaq源码下载http://www.new57.com/softback/sql.rar将本页用include方法放在头部以让所...
Mybatis防止SQL注入
Jc0803kevin的专栏
07-13 2197
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
防止SQL注入
u014644574的博客
04-27 2139
防止SQL注入
如何防止sql注入
2401_88750741的博客
12-11 869
对于PHP程序+MySQL构架的程序,在动态的SQL语句中,使用单引号把变量包含起来配合addslashes函数是应对SQL注入攻击的有效手段,但这做的还不够,像上面的2条SQL语句,根据「检查数据类型」的原则,uid都应该经过intval函数格式为int型,这样不仅能有效避免第二条语句的SQL注入漏洞,还能使得程序看起来更自然,尤其是在NoSQL(如MongoDB)中,变量类型一定要与字段类型相匹配才可以。
防止 SQL 注入
洪晓鸿
04-26 2895
防止 SQL 注入是在使用 Spring Boot 开发 Web 应用程序时必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预防 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击时能够保持数据安全。
如何防止SQL注入
weixin_61898502的博客
09-22 949
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
如何防止SQL注入攻击
hs_1024的博客
09-24 708
SQL注入攻击是一种常见的网络安全威胁,攻击者通过在用户输入中插入恶意的SQL代码,从而可以执行未经授权的数据库操作。为了防止SQL注入攻击,我们可以采取一系列有效的措施来保护数据库和应用程序的安全性。
java防止SQL注入
zwjzone的博客
03-10 1360
springboot使用$符号传参,防止sql注入
如何有效防止 SQL 注入攻击?
u013379032的博客
04-27 858
ORM 框架(如 Hibernate、Django ORM、Sequelize)自动处理 SQL 转义,减少手写 SQL 的风险。SQL 注入SQL Injection)是黑客通过构造恶意输入,篡改 SQL 查询语句的攻击方式。:转义不如参数化查询安全,某些场景可能失效(如。如果必须拼接 SQL,确保转义特殊字符(如。使用参数化查询 + ORM 是黄金标准。,避免恶意输入被当作 SQL 执行。避免直接拼接 SQL 执行(如。:记录异常 SQL 查询(如。(如数字、邮箱、日期)。(只允许特定字符,如。
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
总之,虽然参数化查询是防止SQL注入的首选方法,但SqlFilter类提供了一个可行的补充方案,尤其适用于那些难以立即进行架构调整的老项目。通过在应用层面上增设此类过滤机制,可以有效地提升应用程序的安全性。当然,...
ASP.NET防止SQL注入的方法示例
01-20
为了防止SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他防御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
MYSQL 高级 SQL 技巧
最新发布
_binlong的博客
06-03 276
这些高级技巧可以根据实际需求灵活组合使用,以解决复杂的 SQL 查询和数据处理问题。以下是一些高级 SQL 技巧,可以帮助优化查询、提高性能并解决复杂的数据处理问题。窗口函数允许在查询结果的行上进行计算,而不会减少行数。动态 SQL 允许在运行时构建和执行 SQL 语句,适用于灵活的查询需求。现代数据库支持 JSON 数据类型和相关函数,方便存储和查询半结构化数据。临时表和公共表表达式(CTE)可以简化复杂查询,提高可读性和性能。创建合适的索引可以显著提高查询性能,尤其是在大表上。
SQL SERVER 的手工备份
dql5251的博客
05-30 420
摘要:SQLServer已弃用Sybase时代的DUMP DATABASE命令,改用BACKUP DATABASE进行数据库备份。标准语法为:BACKUP DATABASE [数据库名] TO DISK='路径' WITH相关选项,支持.bak扩展名、压缩备份(COMPRESSION)和差异备份(DIFFERENTIAL)。注意备份路径权限,现代版本完全使用BACKUP语法,建议参考微软官方文档获取最新规范,Azure SQL需使用Blob Storage URL路径。(150字)
开源数据库MySQL 与 PostgreSQL的巅峰对决。
dql5251的博客
06-01 822
MySQL与PostgreSQL深度对比分析 两大开源关系型数据库的核心差异体现在架构设计、功能特性和性能表现上。PostgreSQL采用ORDBMS架构,支持强ACID事务、高级SQL特性和丰富扩展(如PostGIS),在复杂查询、JSON处理和GIS应用中表现优异。MySQL则以轻量级设计见长,适合简单CRUD和高并发读场景。性能测试显示,PostgreSQL在写入吞吐(快90%)和复杂查询稳定性上更具优势,而MySQL在资源消耗和简单查询响应上更佳。选型建议:金融/GIS等强一致性需求选Postgre
经典SQL查询问题的练习第三天
2301_80002241的博客
05-31 798
SQL实战摘要】📊 1️⃣ 教师授课统计:通过课程表与成绩表关联,使用COUNT(DISTINCT)计算每位教师的授课学生数,避免重复计数。 2️⃣ 优质课程筛选:嵌套查询先计算教师平均授课分,再筛选单科平均分超标的课程,用于教学质量评估。 3️⃣ 学生排名分析:结合窗口函数PERCENT_RANK()计算学生总分的百分比排名,反映年级位置。 4️⃣ 选课匹配查询:通过GROUP_CONCAT拼接选课记录,自连接找出选课完全相同的"课表双胞胎"学生。 5️⃣ 成绩波动预警:利用LAG
ASP防止SQL注入技术实现
"SQL注入 ASP防注入" ...防止SQL注入需要多层面的防护,包括编程实践、服务器配置以及持续的安全监控。以上代码提供了一个简单的示例,但在实际应用中应结合其他更强大的安全措施,以提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peter824

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值