PHP编程:提防SQL注入进击的代码
让好朋友来看看,嘿,看咱写的多棒,然后再在网上宣传一下。进击 SQL注入式进击是使用是指使用设计上的破绽,在方针办事器上运转Sql号令和停止其他体例的进击,静态生成Sql号令时没有对用户输出的数据停止验证是Sql注入进击未遂的次要缘由。好比:假如你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'"
那末,假如我的用户名是:1' or '1'='1
那末,你的查询语句将会酿成:
select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
如许你的查询语句就经由过程了,从而就能够进入你的办理界面。
所以提防的时分需求对用户的输出停止反省。出格式一些特别字符,好比单引号,双引号,分号,逗号,冒号,毗连号等停止转换或过滤。
需求过滤的特别字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
"
insert
delete from
drop table
update
truncate
from
%
上面是我写的两种关于处理注入式进击的提防代码,供人人进修参考!
js版的提防SQL注入式进击代码~:
<script language="javascript">
<!--
var url = location.search;
var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table
|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master
|net%20localgroup%20administrators|\"|:|net%20user|\'|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有不法字符~");
location.href="error.asp";
}
//-->
<script>
asp版的提防SQL注入式进击代码~:
<%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)
If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") then
Response.Write "<script language='javascript'>"
Response.Write "alert('不法地址!!');"
Response.Write "location.href='error.asp';"
Response.Write "<script>"
End If
%>
C# 反省字符串,防SQL注入进击
这个例子里暂定为=号和'号
bool CheckParams(params object[] args)
{
string[] Lawlesses={"=","'"};
if(Lawlesses==null||Lawlesses.Length<=0)return true;
//机关正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相干内容请见MSDN)
//别的,因为我是想做通用并且轻易修正的函数,所以多了一步由字符数组到正则表达式,实践利用中,直接写正则表达式亦可;
String str_Regex=".*[";
for(int i=0;i< Lawlesses.Length-1;i++)
str_Regex+=Lawlesses+"|";
str_Regex+=Lawlesses+"].*";
//
foreach(object arg in args)
{
if(arg is string)//假如是字符串,直接反省
{
if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false;
}
else if(arg is ICollection)
//假如是一个纠合,则反省纠合内元素是不是字符串,是字符串,就停止反省
{
foreach(object obj in (ICollection)arg)
{
if(obj is string)
{
if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;
毕业设计作品自己个人还是觉得比较满意的,尽管有些功能考虑的不全面,也没有很好的实现。 小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。 使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。 在我安装pear包的时候老是提示,缺少某某文件,才发现 那群extension 的排列是应该有一点的顺序,而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去,只留下我需要使用的扩展。 多看优秀程序员编写的代码,仔细理解他们解决问题的方法,对自身有很大的帮助。 对于懒惰的朋友,我推荐php的集成环境xampp或者是wamp。这两个软件安装方便,使用简单。但是我还是强烈建议自己动手搭建开发环境。 我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。 在学习的过程中不能怕麻烦,不能有懒惰的思想。学习php首先应该搭建一个lamp环境或者是wamp环境。这是学习php开发的根本。虽然网络上有很多集成的环境,安装很方便,使用起来也很稳定、 因为blog这样的可以让你接触更多要学的知识,可以接触用到类,模板,js ,ajax 多看优秀程序员编写的代码,仔细理解他们解决问题的方法,对自身有很大的帮助。 对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用,而且里面的资料也比较有用,最好还是买个会员比较好,毕竟那些也是别人的工作成果。 曾经犯过一个很低级的错误,我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号,结果找了好几个小时的错误,事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的,应该用的是下划线\\\\\\\'_\\\\\\\' ; 个人呢觉得,配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下,还有重启apache。 装在C盘下面可以利用windows的ghost功能可以还原回来(顺便当做是重转啦),当然啦我的编译目录要放在别的盘下,不然自己的劳动成果就悲剧啦。 你很难利用原理去编写自己的代码。对于php来说,系统的学习我认为还是很重要的,当你有一定理解后,你可你针对某种效果研究,我想那时你不会只是复制代码的水平了。 先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。 做为1门年轻的语言,php一直很努力。 当留言板完成的时候,下步可以把做1个单人的blog程序,做为目标, 基础有没有对学习php没有太大区别,关键是兴趣。 最后介绍一个代码出错,但是老找不到错误方法,就是 go to wc (囧),出去换换气没准回来就找到错误啦。
页:
[1]
2