• 防SQL注入及页面输出内容验证处理转


    #region 防SQL注入及页面输出内容验证处理

           /// <summary>

        ///替换单引号

        /// </summary>

        /// <param name="str"></param>

        /// <returns></returns>

        public static string FormatSQLParamSign(string str)

        {

            StringBuilder sb = new StringBuilder(str.Trim());

            sb.Replace("'", "''");

            return sb.ToString();

        }





        public static readonly string blackwords = ";|and|exec|insert|select|delete|update|*|%|chr|mid|master|truncate|char|declare|drop table|xp_cmdshell|netlocalgroup|administrators|net user";



        /// <summary>

        ///拼接sql字符串条件时,替换特殊字符,如'- |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare

        /// </summary>

        /// <param name="str"></param>

        /// <returns></returns>

        public static string FormatSQLParam(string str)

        {

            StringBuilder sb = new StringBuilder(str.Trim());

            sb.Replace("'", "''");

            string[] BlackList = blackwords.Split('|');

            for (int i = 0; i < BlackList.Length; i++)

            {

                sb.Replace(BlackList[i], "");

            }

            return sb.ToString();

        }





        /// <summary>

        /// 对Like 条件的特殊字符进行处理 % [ _ ^ '等

        /// </summary>

        /// <param name="str"></param>

        /// <returns></returns>

        public static string FormatSQLLikeParam(string str)

        {

            StringBuilder sb = new StringBuilder(str.Trim());

            sb.Replace("'", "''").Replace("[", "[[]").Replace("%", "[%]").Replace("_", "[_]").Replace("^", "[^]");

            return sb.ToString();

        }


    SQL Server查询中的特殊字符处理

    我们都知道SQL Server查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。
    但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。
    其用途如下:
    下划线:用于代替一个任意字符(相当于正则表达式中的 ? )
    百分号:用于代替任意数目的任意字符(相当于正则表达式中的 * )
    方括号:用于转义(事实上只有左方括号用于转义,右方括号使用最近优先原则匹配最近的左方括号)
    尖号:用于排除一些字符进行匹配(这个与正则表达式中的一样)

    以下是一些匹配的举例,需要说明的是,只有like操作才有这些特殊字符,=操作是没有的。
    a_b...        a[_]b%
    a%b...       a[%]b%
    a[b...       a[[]b%
    a]b...       a]b%
    a[]b...      a[[]]b%
    a[^]b...     a[[][^]]b%
    a[^^]b...    a[[][^][^]]b%

    在实际进行处理的时候,对于=操作,我们一般只需要如此替换:
    ' -> ''
    对于like操作,需要进行以下替换(注意顺序也很重要)
    [ -> [[]     (这个必须是第一个替换的!!)
    % -> [%]    (这里%是指希望匹配的字符本身包括的%而不是专门用于匹配的通配符)
    _ -> [_]
    ^ -> [^]

    对于xss攻击可以试着用一下微软的组件

    AntiXssLibraryV1.5Installer.msi

    查一下就可以

    浅析XSS(Cross Site Script)漏洞原理

    原文:

    http://hi.baidu.com/freezesoul/blog/item/740840a99bece5fb1f17a27b.html
  • 相关阅读:
    Java实现 蓝桥杯 生命游戏
    Java实现 蓝桥杯 生命游戏
    Java实现UVA10131越大越聪明(蓝桥杯每周一题)
    Linux 静态库&动态库调用
    linux下c++开发环境安装(eclipse+cdt)
    怎样在Windows和Linux下写相同的代码
    教会你如何编写makefile文件
    Linux编译多个不同目录下的文件以及静态库、动态库的使用
    Fedora 17 下安装codeblocks
    Fedora 下安装codeblocks
  • 原文地址:https://www.cnblogs.com/sendling/p/1440034.html
Copyright © 2020-2023  润新知