asp实现对SQL注入危险字符进行重编码处理的函数
作者:誓言俱乐部 | 来源:互联网 | 2022-03-19 23:33
asp实现对SQL注入危险字符进行重编码处理的函数
<%
'******************************
'函数:CheckStr(byVal ChkStr)
'参数:ChkStr,待验证的字符
'作者:阿里西西
'日期:2007/7/15
'描述:对SQL注入危险字符进行重编码处理
'示例:CheckStr("and 1=1 or select * from")
'******************************
Function CheckStr(byVal ChkStr)
Dim Str:Str=ChkStr
Str=Trim(Str)
If IsNull(Str) Then
CheckStr = ""
Exit Function
End If
Dim re
Set re=new RegExp
re.IgnoreCase =True
re.Global=True
re.Pattern="(\r\n){3,}"
Str=re.Replace(Str,"$1$1$1")
Set re=Nothing
Str = Replace(Str,"'","''")
Str = Replace(Str, "select", "sel&#101;ct")
Str = Replace(Str, "join", "jo&#105;n")
Str = Replace(Str, "union", "un&#105;on")
Str = Replace(Str, "where", "wh&#101;re")
Str = Replace(Str, "insert", "ins&#101;rt")
Str = Replace(Str, "delete", "del&#101;te")
Str = Replace(Str, "update", "up&#100;ate")
Str = Replace(Str, "like", "lik&#101;")
Str = Replace(Str, "drop", "dro&#112;")
Str = Replace(Str, "create", "cr&#101;ate")
Str = Replace(Str, "modify", "mod&#105;fy")
Str = Replace(Str, "rename", "ren&#097;me")
Str = Replace(Str, "alter", "alt&#101;r")
Str = Replace(Str, "cast", "ca&#115;t")
CheckStr=Str
End Function
'反编上面函数处理过的字符串
Function UnCheckStr(Str)
Str = Replace(Str, "sel&#101;ct", "select")
Str = Replace(Str, "jo&#105;n", "join")
Str = Replace(Str, "un&#105;on", "union")
Str = Replace(Str, "wh&#101;re", "where")
Str = Replace(Str, "ins&#101;rt", "insert")
Str = Replace(Str, "del&#101;te", "delete")
Str = Replace(Str, "up&#100;ate", "update")
Str = Replace(Str, "lik&#101;", "like")
Str = Replace(Str, "dro&#112;", "drop")
Str = Replace(Str, "cr&#101;ate", "create")
Str = Replace(Str, "mod&#105;fy", "modify")
Str = Replace(Str, "ren&#097;me", "rename")
Str = Replace(Str, "alt&#101;r", "alter")
Str = Replace(Str, "ca&#115;t", "cast")
UnCheckStr=Str
End Function
%>
推荐阅读
-
本文介绍了使用postman进行接口测试的方法,以测试用户管理模块为例。首先需要下载并安装postman,然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时,可以进行异常测试,包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ...
[详细]
蜡笔小新 2023-12-14 10:29:45
-
本文介绍了一个延迟注入工具(python)的SQL脚本,包括使用urllib2、time、socket、threading、requests等模块实现延迟注入的方法。该工具可以通过构造特定的URL来进行注入测试,并通过延迟时间来判断注入是否成功。 ...
[详细]
蜡笔小新 2023-12-12 10:36:42
-
-
本文介绍了一个免费的asp.net控件,该控件具备数据显示、录入、更新、删除等功能。它比datagrid更易用、更实用,同时具备多种功能,例如属性设置、数据排序、字段类型格式化显示、密码字段支持、图像字段上传和生成缩略图等。此外,它还提供了数据验证、日期选择器、数字选择器等功能,以及防止注入攻击、非本页提交和自动分页技术等安全性和性能优化功能。最后,该控件还支持字段值合计和数据导出功能。总之,该控件功能强大且免费,适用于asp.net开发。 ...
[详细]
蜡笔小新 2023-12-11 09:41:26
-
背景应用安全领域,各类攻击长久以来都危害着互联网上的应用,在web应用安全风险中,各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ...
[详细]
蜡笔小新 2023-12-11 01:30:52
-
本文详细介绍了Mybatis中#与$的区别及其作用。#{}可以防止sql注入,拼装sql时会自动添加单引号,适用于单个简单类型的形参。${}则将拿到的值直接拼装进sql,可能会产生sql注入问题,需要手动添加单引号,适用于动态传入表名或字段名。#{}可以实现preparedStatement向占位符中设置值,自动进行类型转换,有效防止sql注入,提高系统安全性。 ...
[详细]
蜡笔小新 2023-12-10 14:30:39
-
代码已上传Github+Gitee,文末有地址 书接上文:前几回文章中,我们花了三天的时间简单了解了下接口文档Swagger框架,已经完全解放了我们的以前的Word说明文档,并且可以在线进行调 ...
[详细]
蜡笔小新 2023-10-17 18:25:42
-
XXE与PortswiggerWebSec相关链接:博客园安全脉搏FreeBufXML的全称为XML外部实体注入,在学习的过程中发现有回显的XXE并不多,而 ...
[详细]
蜡笔小新 2023-10-17 16:52:48
-
添加数据:packagecom.hyc.study03;importcom.hyc.study02.utils.JDBCUtils;importjava.sql ...
[详细]
蜡笔小新 2023-10-17 16:36:42
-
本文介绍了绕过WAF的XSS检测机制的方法,包括确定payload结构、测试和混淆。同时提出了一种构建XSS payload的方法,该payload与安全机制使用的正则表达式不匹配。通过清理用户输入、转义输出、使用文档对象模型(DOM)接收器和源、实施适当的跨域资源共享(CORS)策略和其他安全策略,可以有效阻止XSS漏洞。但是,WAF或自定义过滤器仍然被广泛使用来增加安全性。本文的方法可以绕过这种安全机制,构建与正则表达式不匹配的XSS payload。 ...
[详细]
蜡笔小新 2023-12-11 19:42:30
-
本文介绍了互联网思维中的三个段子,涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例,探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验,三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ...
[详细]
蜡笔小新 2023-12-10 14:58:10
-
本文介绍了在go语言中利用(*interface{})(nil)传递参数类型的原理及应用。通过分析Martini框架中的injector类型的声明,解释了values映射表的作用以及parent Injector的含义。同时,讨论了该技术在实际开发中的应用场景。 ...
[详细]
蜡笔小新 2023-12-10 11:37:12
-
Spring框架《一》1.Spring概述1.1简介1.2Spring模板二、IOC容器和Bean1.IOC和DI简介2.三种通过类型获取bean3.给bean的属性赋值3.1依赖 ...
[详细]
蜡笔小新 2023-12-09 20:10:11
-
本文介绍了双极型晶体管作为最早发明的半导体器件,在集成电路生产中的重要地位。双极型工艺凭借其高速、高跨导、低噪声以及较高的电流驱动能力等优势,得到了快速发展。文章详细介绍了双极型晶体管的基本元素、隔离工艺以及制作工艺流程。隔离技术包括pn结隔离、全介质隔离以及pn结-介质混合隔离等。制造工艺流程包括衬底选择、光刻、扩散、氧化等步骤。本文可作为双极型晶体管制造工艺及应用的参考资料。 ...
[详细]
蜡笔小新 2023-12-09 10:05:45
-
KaliLinux是世界渗透测试行业公认的优秀的网络安全审计工具集合,它可以通过对设备的探测来审计其安全性,而且功能完备,几乎包含了目前所 ...
[详细]
蜡笔小新 2023-10-17 18:39:24
-
一、引言今天我们要讲【结构型】设计模式的第三个模式,该模式是【装饰模式】,英文名称:DecoratorPattern。我第一次看到这个名称想到的是另外一个词语“装修”,我就说说我对“装修”的理 ...
[详细]
蜡笔小新 2023-10-17 17:43:55
-