SQL注入:SQL Injectoin是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据库,或利用潜在的数据库漏洞进行攻击。数据和代码未分离,即数据当成了代码来执行。
万能密码:本质上就是SQL注入的一种利用方式, 用 ---’注释掉后面passwd的内容
SQL注入:
利用脚本:用union select version() --’and passwd=’xxxxxxxxxxxx’ limit 1; //查询版本
获取当前用户:union select user();
SQL注入危害:
管理员后台的用户名和密码;
获取其他数据敏感信息:用户名、密码、手机号、身份证、银行卡信息......
整个数据库:脱裤
获取服务器权限
植入Webshell,获取服务器后门
读取服务器敏感文件
万能密码
......