防止SQL注入方法总结

时间 2020-06-21

标签防止 sql 注入方法总结栏目 SQL 繁體版

原文原文链接

1、参数化SQLjavascript

是指在设计与数据库连接并访问数据时，在须要填入数值或数据的地方，使用参数 (Parameter) 来给值，用@来表示参数。前端

在使用参数化查询的状况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，所以就算参数中含有恶意的指令，因为已经编译完成，就不会被数据库所运行,所以，可从必定程度上避免SQL注入。（注意：只是必定程度上避免，仍有例外）java

在不用的数据库上基本语法都是同样的，但在不一样的运行平台上客户端的书写有不一样之处，举例使用SQL server在.net上执行。程序员

SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); ' 设定参数 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); ' 设定参数 @c2 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();正则表达式

注意：sql

一、若是存储过程当中使用字符串拼接sql的话，上面的参数化将不会起做用，单引号必须通过判断并替换，在数据库中，用2个单引号表明1个实际的单引号。因此，若是是拼接sql字符串的方式，须要用Replace(@para,'''', '''''')来替换一下，将1个单引号替换为2个就没有问题了。shell

二、使用这种参数化查询的办法，防止SQL注入的任务就交给ADO.NET了, 若是在项目中统一规定必须使用参数化查询，就不用担忧因个别程序员的疏忽致使的SQL注入漏洞了。可是，问题尚未完，SQL注入的漏洞是堵住了，可是查询结果的正确性，参数化查询并不能帮上什么忙。数据库

2、字符串过滤（在上面方法不能阻止的状况下，可使用该方法,不推荐使用）服务器

　　//字符串过滤，防止sql注入。
        public bool IsHasSQLInject(string str)
        {
            bool isHasSQLInject = false;url

　　　　//字符串中的关键字更具须要添加
            string inj_str = "'|and|exec|union|create|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|xp_|or|--|+";
            str = str.ToLower().Trim();
            string[] inj_str_array = inj_str.Split('|');
            foreach (string sql in inj_str_array)
            {
                if (str.IndexOf(sql) > -1)
                {
                    isHasSQLInject = true;
                    break;
                }
            }
            return isHasSQLInject;
        }

3、使用正则表达式过滤传入的参数（这个方法没有亲自验证，从网上找来的）

下面是具体的正则表达式：

检测SQL meta-characters的正则表达式：/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入，UNION查询关键字的正则表达式：/((\%27)|(\’))union/ix(\%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式：/exec(\s|\+)+(s|x)p\w+/ix

结合Regular Expression使用，简称RE是一种很是强大的文字验证技术。If Re.Mathc(str,pattern).Success Then 继续执行，这里使用Match方法来对用户输入的内容与定义好的模板进行验证。

4、前端js防范SQL注入（前端验证只能起到必定做用，还须要后台参数化阻止SQL注入）

var url = location.search;

var re=/^\?(.*)(select%20|insert%20| delete

%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\

"|:|net%20user|\|%20or%20)(.*)$/gi;

var e = re.test(url);

if(e) {

alert(" 地址中含有非法字符～ ");

location.href=" error.asp";

}