Sql注入漏洞的例子

原创 2004年09月23日 12:17:00

 

访问北京宽带 小灵通 页面,具体地址为:http://www.bbn.com.cn/xlt2.htm

在用户登陆处,填写相关资料
小灵通号:正常应为您自己的小灵通号码,这样您发送一条短信,就收取0.08元的费用,不过这里您
随便填写一个号码即可,这样资费就可以转移到别人的帐上。当然,您也可以填写一个不存在的号码
这样,损失的就只有北京通信了。
密码:这里是关键,要想正确通过登陆,密码应该为  a' or 'a'='a

如果学过SQL语句的朋友,就很好理解了,可能程序中验证用户登陆的语句是这样写的

sql = "Select * From UserTable Where username=' " & username & "' and password='" & password & "'"
所以,我们输入上面的用户名和密码之后,SQL 语句就会变为

sql = "Select * From UserTable Where username='81911234' and password='a' or 'a'='a' "
所以,不管什么用户和密码,因为在条件中有了一个逻辑或'a'='a'永远成立, 所以这个语句执行完以后肯定是有结果返回的
所以,系统就会认为你已经登陆了

这就是我们常说的SQL Injection。
这样就可以登陆成功了
之后,回到当前页面,就可以通过自写短信给朋友发送小灵通短信了

仅供参考,此问题已经通知 北京宽带网 管理员,可能在您测试的时候,该问题已经得到修补

sql注入漏洞的一种实例

在做毕业设计的时候,竟然碰到了一中叫sql注入漏洞的现象。   当笔者用一条sql语句查询时,select * from users where username='zf' and passwd='z...
  • zhuofeng85
  • zhuofeng85
  • 2013年10月27日 22:50
  • 2196

实例讲解黑客如何执行SQL注入攻击

一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在...
  • lishimin1012
  • lishimin1012
  • 2015年01月27日 20:33
  • 775

sql注入经典例子

 https://en.wikipedia.org/wiki/SQL_injection
  • hualusiyu
  • hualusiyu
  • 2015年10月28日 09:55
  • 375

登陆(防止Sql注入漏洞)的源代码

  • 2013年08月13日 09:47
  • 75KB
  • 下载

sql注入漏洞的一种实例

在做毕业设计的时候,竟然碰到了一中叫sql注入漏洞的现象。   当笔者用一条sql语句查询时,select * from users where username='zf' and passwd='z...
  • zhuofeng85
  • zhuofeng85
  • 2013年10月27日 22:50
  • 2196

利用SQL注入漏洞登录后台的实例

转载: http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0210/9803.html  在开发网站的时候,出于安全考虑,需要过滤...
  • MaggieMiaoMiao
  • MaggieMiaoMiao
  • 2015年08月24日 11:08
  • 2781

利用SQL注入漏洞登录后台的实现方法

在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服...
  • luyaran
  • luyaran
  • 2016年12月01日 13:40
  • 330

SQL注入——漏洞全接触(入门篇 )

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进...
  • Shiyaru1314
  • Shiyaru1314
  • 2015年10月10日 13:44
  • 417

手动漏洞挖掘-SQL注入小谈

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 服务器端程序将用户输入参数做为查询条件,直接拼接SQL语句,并将查询...
  • qq_33936481
  • qq_33936481
  • 2016年04月25日 20:53
  • 2506

php sql注入漏洞与修复

出于安全考虑,需要过滤从页面传递过来的字符。 通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。 轻则数据遭到泄露,重则服务器被拿下。  一、SQL注入的...
  • vip_linux
  • vip_linux
  • 2014年01月24日 21:20
  • 869
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Sql注入漏洞的例子
举报原因:
原因补充:

(最多只允许输入30个字)