‘壹’ 对于防止sql注入,似乎只需把用户输入的单引号转义为双引号就可以彻底解决这个问题了
最后写成存储过程,参数化。
1楼,oracle已测试,不成功。
‘贰’ sql注入 过滤字符
不需要这么复杂。
你建一个函数,如
function saferequest(str,type)
str为参数,type为类型(1为数字)
if type =1 then
saferequest = clng(request(str))
else
saferequest = replace(request(str),"'","''")
end if
end functioin
原理:
如果为数字型,SQL语句是这样的
select * from news where id = 1
我们只要判断参数是否为数字就行。
如果为字符型,语句类似
select * from news where news = 'ef'
如果str = ef'就会产生注入。但过涉单引号后,即无法闭合单引号,所以不会构成注入。在SQL语句中,两个单引号代替一个单引号字符。
用法:
原先的
id = request("id")
加了函数后
id = saferequest("id",1)
‘叁’ sql注入过程中单引号和多个关键字被过滤怎么办
很高兴回答你的问题
SQL注入成功机率和选择注入目标程序安全性有直接关系.单就你的问题和你的思路来说的话,你还可尝试利用 ANSI 字符代码变体来达到目的 比如 " 号对应 chr(34) .
是否成功取决于他本身程序是否也做了过滤.
另:还有很多方法同样可以达到目的的.比如旁注、跨站、截取cookie 等
‘肆’ sql注入 form过滤怎么绕过
我常用的三种方法:
1,参数过滤,过滤掉 单引号,or,1=1 等类似这样的 。
2,使用 参数化方法格式化 ,不使用拼接SQL 语句。
3,主要业务使用存储过程,并在代码里使用参数化来调用(存储过程和方法2结合)
‘伍’ 怎么绕过这个SQL注入后面的单引号
绕过不执行不知道怎么写
但可以让where条件变成无意义的条件
arg="1' OR '1'='1";这样c='"+"1' OR '1'='1"+"'。执行时应该就变成了
select * from table where c='1' OR '1'='1' ,判断条件无意义了,即相当于 select * from table
这个网络上就有示例
‘陆’ SQL注入单引号
SqlParameter到数据库里单引号会被转义,所以才能有效避免注入攻击。http://msdn.microsoft.com/zh-cn/library/ms161953(v=SQL.105).aspx
‘柒’ 过滤单引号后是否sql注入就无解了
也不能这样说,要过滤的内容很多,如注释 -- ,exec delete select update 基本的都要过滤,但这不是治本的,如果16进制攻击也会出问题。
最好的办法就是使用参数方式来处理SQL,绝不要拼字符
16进制:
http://www.cnblogs.com/liyongfisher/archive/2010/12/20/1911432.html
参数化处理:
http://www.cnblogs.com/lzrabbit/archive/2012/04/21/2460978.html
‘捌’ sql注入如何绕过单引号过滤非常感谢!
sql注入现在基本上不用了 后台稍微处理下sql注入就没有作用了。放弃吧。
‘玖’ 防sql注入到底应过滤哪些字符
一般来说,这样处理即可:
所有参数都当作字符串处理,用单引号括起来。另外就是要把字符串中的单引号替换掉。