sql防注入过滤

★. 有没有靠谱的净水或纯水设备的厂家，求联系方式！

这要看你要的具体设备是什么了？之前我们工厂新上的一个纯水设备是悦纯的。当时是我负责这块，机器的安装调试都是悦纯工厂亲自来人做的，包括调试、试用、讲解全部都说的很清楚。我感觉他们服务和产品质量都挺好的，有需要你可以联系下，联系方式是 18156052550 (微信同号)

① 如何防止sql注入

sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句，从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入，可以在接受不安全空间的内容时过滤掉接受字符串内的“'”，那么他不再是一条sql语句，而是一个类似sql语句的zifuc，执行后也不会对数据库有破坏。
如：-----下面这一段是找的
username = request("username") //获取用户名 这里是通过URL传值获取的
password = request("password") //获取密码 也是通过URL传值获取的
sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ',
那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，显然1是恒真的，那么验证密码就通过了。补充：
防止的方式比较多，比如可以限制username,password中出现"'"这些字符，一般网站都是只允许数字，字符，下划线的组合，这可以通过javascript验证。也可以采取用存储过程代替sql拼接，等等。

② sql防注入几种惯用策略

1.（简单又有效的方法）PreparedStatement
采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。
使用好处：
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
原理：
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
2.使用正则表达式过滤传入的参数
要引入的包：
import java.util.regex.*;
正则表达式：
private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;
判断是否匹配：
Pattern.matches(CHECKSQL,targerStr);
下面是具体的正则表达式：
检测SQL meta-characters的正则表达式 ：
/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix
修正检测SQL meta-characters的正则表达式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\’))union/ix(\%27)|(\’)
检测MS SQL Server SQL注入攻击的正则表达式：
/exec(\s|\+)+(s|x)p\w+/ix
等等…..

3.字符串过滤
比较通用的一个方法：
（||之间的参数可以根据自己程序的需要添加）
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入：
sql_inj.java代码：
package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//这里的东西还可以自己添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}
}

5.JSP页面判断代码：

使用javascript在客户端进行不安全字符屏蔽
功能介绍：检查是否含有”‘”,”\\”,”/”
参数说明：要检查的字符串
返回值：0：是1：不是
函数名是
function check(a){
return 1;
fibdn = new Array (”‘” ,”\\”,”/”);
i=fibdn.length;
j=a.length;
for (ii=0; ii＜i; ii++)
{ for (jj=0; jj＜j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem’; p1==temp2)
{ return 0; }
}
}
return 1;
}

③ 如何在下面的代码中添加过滤来防止SQL注入

楼主的是什来么语音自，看着有点想VB。但是又有点想NET，下面是一个ASP.NET的例子，希望对楼主有所启示。
在判断前先做一个筛选：
string str = txtusername.text
if ValiParms(str) then msgbox "非法字符"
ValiParms()的方法：http://www.glslian.com/article.asp?id=45

希望楼主早日解除疑惑。有什么不明白的可以HI网络我~~~

④ 什么是sql注入，怎么防止注入

sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句，从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入，可以在接受不安全空间的内容时过滤掉接受字符串内的“'”，那么他不再是一条sql语句，而是一个类似sql语句的zifuc，执行后也不会对数据库有破坏。 如：-----下面这一段是找的 username = request("username") //获取用户名 这里是通过URL传值获取的 password = request("password") //获取密码 也是通过URL传值获取的 sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ', 那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，显然1是恒真的，那么验证密码就通过了。补充： 防止的方式比较多，比如可以限制username,password中出现"'"这些字符，一般网站都是只允许数字，字符，下划线的组合，这可以通过javascript验证。也可以采取用存储过程代替sql拼接，等等。

⑤ 怎么样防止Sql注入

(1)对于动态构造SQL查询的场合，可以使用下面的技术：

第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。

第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。

第三：对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。

⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。

⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。

⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。

在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过CustomValidator自己创建一个。

⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个，非常适合于对输入数据进行消毒处理。

⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理。
---------------------------------------------------------------------------------------------------------------------------
关键是明白原理，其实防范很简单的，
1.过滤SQL需要的参数中的敏感字符（注意加入忽略大小写）
2.禁用数据库服务器的xp_cmdshell存储过程，删除相应用到的dll
3.屏蔽服务器异常信息

⑥ 防sql注入到底应过滤哪些字符

一般来说，这样处理即可：
所有参数都当作字符串处理，用单引号括起来。另外就是要把字符串中的单引号替换掉。

⑦ 如何防止SQL注入

好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
⑴ 对于动态构造SQL查询的场合，可以使用下面的技术:
第一:替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。
第二:删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。
第三:对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。
在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本(或者直接删除脚本)，然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个，非常适合于对输入数据进行消毒处理。
⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理。

⑧ 如何防止SQL注入，并通过脚本来过滤SQL中注入的字符

如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库，那么就有可能发生SQL注入专安全的问题。
本章节将为大属家介绍如何防止SQL注入，并通过脚本来过滤SQL中注入的字符。
http://e.cnzz.cn/201509/96863872.shtml

⑨ 如果所有关键字都过滤就可以防止SQL注入了么

如果所有关键字抄都过滤，确实可以。既然没有关键字，那么传入的参数只是个字符串，没有其他的效果了。
但是，这是不可能的，有些时候你不得不用到一些关键字，比如密码[这里面肯定会含有特殊字符的]
建议：采用参数化的赋值方式
我们实际做的是尽可能避免参数注入，绝对安全的程序是不存在的，只有尽可能的安全。