社区
MS-SQL Server
帖子详情
对于自定义查询的输入信息的过滤,希望大家能列举出破坏生成正常SQL语句的非法和恶意字符,如单引号之类的。
glboy
2003-11-01 05:11:02
如上,数据库为SQL SERVER 2000 ,主要是为了更大程度上增强对SQL SERVER 查询分析器的支持,希望大家能多捧场。
期待屏蔽字符有:
1.单引号
2."*"(在非模糊查询的时候需要屏蔽)符号
...全文
33
12
打赏
收藏
对于自定义查询的输入信息的过滤,希望大家能列举出破坏生成正常SQL语句的非法和恶意字符,如单引号之类的。
如上,数据库为SQL SERVER 2000 ,主要是为了更大程度上增强对SQL SERVER 查询分析器的支持,希望大家能多捧场。 期待屏蔽字符有: 1.单引号 2."*"(在非模糊查询的时候需要屏蔽)符号
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
12 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
mrfinger
2003-11-02
打赏
举报
回复
;
分号同样值得关注,要不你的网站什么时候被黑了都不知道!
http://www.51base.com/article/search.asp?page=2&action=search&search=sql+%D7%A2%C8%EB&typeid=1
glboy
2003-11-02
打赏
举报
回复
THANK YOU
glboy
2003-11-01
打赏
举报
回复
谢谢大家的热情回答,其实程序只能一定程度上去弥补和过滤,对于人为的恶意攻击还是很无力,大家认为呢?
Liulingbing
2003-11-01
打赏
举报
回复
我在JSP中写这样的代码。
if(content != null && !content.equals("")) {
//插入前对文本格式化,1、单引号变两个单引号,2、换行变<br> 3、<>分别换成<>
content = content.replaceAll("'", "''");
content = content.replaceAll("<", "<");
content = content.replaceAll(">", ">");
content = content.replaceAll("\r\n", "<br>");
}
txlicenhe
2003-11-01
打赏
举报
回复
单引号,%,_,逗号,[],点号,--/**/ = > < ( )
glboy
2003-11-01
打赏
举报
回复
ok,我想得到的主要也就是对于单引号的担心
pengdali
2003-11-01
打赏
举报
回复
但问题最大的是:
' 号
pengdali
2003-11-01
打赏
举报
回复
如果你用=就没有问题
如果你用like就还有:
% _ [
pengdali
2003-11-01
打赏
举报
回复
'
就可以了。
glboy
2003-11-01
打赏
举报
回复
呵呵,写的快了些,谢谢指正
zjcxc
元老
2003-11-01
打赏
举报
回复
-- /* */
表示注释
zjcxc
元老
2003-11-01
打赏
举报
回复
改楼主的错:
*是针对access的,SQL中用%
还有非模糊查询的时候需要屏蔽:
% 包含零个或更多字符的任意字符串。
_(下划线) 任何单个字符。
保留的关键字不知道是否在楼主的范围内?如果在的话,那就多了.
C#编程经验技巧宝典
4 <br>0008 为程序设置版本和帮助
信息
4 <br>0009 设置Windows应用程序启动窗体 5 <br>0010 设置Web应用程序起始页 5 <br>0011 如何设置程序的
出
错窗口 5 <br>0012 如何进行程序调试 6 ...
SQL注入
SQL注入指网站应用对用户
输入
的
恶意
数据没有进行
过滤
和防御、导致用户通过将
恶意
的SQL
查询
或添加语句拼接到网站的
输入
参数中带入到数据库中从而进行获取数据库
信息
等攻击。
通俗易懂的Hibernate教程(含配套资料)
本教程为授权
出
品教程 本Java视频教程基于 Hibernate4.x 录制。内容涵盖安装 Hibernatetools...Java视频教程内容注重理论与实践相结合,
列举
大量具典型性和实用价值的 Hibernate应用实例,并提供详细的开发和部署步骤。
SQL注入漏洞详解
黑客利用此漏洞执行
恶意
的
SQL语句
,如
查询
数据、下载数据,写webshell、执行系统命令以此来绕过登录权限限制等。 检测方法 可以利用sqlmap进行SQL注入的检查或利用,也可以使用其他SQL注入工具。也可以手工测...
SQL语句
动态传入表名
在ssm框架中,由于
sql语句
是动态编译的,所以会在传入的
字符
串加入“ ‘’ ”,而表名是不允许有的,起初我想用trim去除,发现不管用,后来发现有statementType函数,一共有三种属性我就不一一
列举
了。 直接解决办法...
MS-SQL Server
34,587
社区成员
254,588
社区内容
发帖
与我相关
我的任务
MS-SQL Server
MS-SQL Server相关内容讨论专区
复制链接
扫一扫
分享
社区描述
MS-SQL Server相关内容讨论专区
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章