【SQL注入漏洞-01】SQL注入漏洞原理及分类

已于 2023-02-01 14:53:47 修改
阅读量7.6k 收藏 15
点赞数 5
分类专栏: Web漏洞 文章标签: mysql sql 数据库 安全 Powered by 金山文档
于 2023-02-01 14:51:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76334474/article/details/128833537
版权
SQL注入是一种常见的Web安全漏洞,发生在数据交互中,因前端数据未经严格过滤直接拼接到SQL语句执行。攻击者借此获取敏感信息,可能导致数据泄露、系统权限丧失。注入分类包括数字型、字符型、联合查询、报错型、布尔型和时间型盲注等。防范措施应确保参数过滤,避免直接拼接SQL。
摘要由CSDN通过智能技术生成

SQL注入简介

结构化查询语言(Structured Query Language,缩写︰SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。

SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)

  • sql注入在安全问题中排行第一

  • sql注入攻击是输入参数未经过滤,然后直接拼接到sql语句当中解析

  • sql注入是一种将sql代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法

注入流程:由于关系型数据库系统,具有明显的库/表/列/内容结构层次,所以我们通过SQL注入漏洞获取数据库中信息的时候,也依据这样的顺序。首先获取库名,其次获取表名,然后获取列名,最后获取数据

SQL注入原理

web应用程序在接收相关数据参数时未做好过滤,直接将其带入到数据库中查询,从而攻击者可以拼接执行构造的sql命令,导致了sql注入的发生。其成因可以归结外以下原因叠加造成的:

  1. 攻击者在页面提交恶意字符(例如单引号、空格、1=1等)

  1. 服务器未对提交参数进行过滤或过滤不足

  1. 攻击者利用拼接sql语句方式获取数据库敏感信息

SQL注入危害

攻击者利用SQL注入漏洞,可以获取数据库中的多种信息(例如︰管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者可以通过SQL注入漏洞直接获取webshell(脚本木马,是通过服务器开放的端口获取服务器的某些权限)或者服务器系统权限

  • 获取web网页数据库--数据泄露

  • 用户数据被非法买卖

  • 危害

最低0.47元/天 解锁文章
百事都可樂.
关注
专栏目录
SQL注入漏洞全接触.ppt
11-15
* SQL注入漏洞原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到的资料。 二、 SQL注入漏洞的危害 * SQL注入漏洞可能导致敏感数据泄露、服务器被入侵、网站沦陷等严重后果。 * ...
从零开始学SQL注入sql十大注入类型):技术解析与实战演练
最新发布
xt350488的博客
06-17 1948
SQL 注入是比较常见的网络攻击方式之一,它不是利用操作系统的 BUG 来实现攻击,而是针对程序员编写时的疏忽,通过 SQL 语句,实现无账号登录,甚至篡改数据库。由于以下的环境都是 MySQL 数据库,所以先了解点 MySQL 有关的知识。在 MySQL5.0 之后,MySQL 中默认添加了一个名为的数据库,该数据库中的表都是只读的,不能进行更新、删除和插入等操作,也不能加载触发器,因为它们实际只是一个视图,不是基本表,没有关联的文件。mysql中注释符:# 、/**/ 、 --schemata。
薄纱全网 史上最全SQL注入漏洞总结
MachineGunJoe666
07-07 1189
注入漏洞在十大Web安全漏洞之中,其主要原因是对用户的输入过滤不严,导致程序以危险的方式运行,注入漏洞应用最广泛,杀伤力也很大如最常见的sql注入,命令注入,还有代码注入、xss等。最常见的Web漏洞之一,作用对象在数据库中,程序没有对用户输入数据的合法性进行验证和过滤,导致sql查询语句被恶意拼接,sql注入漏洞存在的条件:参数用户可控、参数可以动态拼接sql语句并带入数据库查询、参数过滤不严。
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 6216
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞的演示过程。
SQL注入漏洞详解总结大全
m0_64583632的博客
01-20 3575
SQL注入利用手法详解大全
SQL注入漏洞简介、原理及防护
m0_54899775的博客
03-21 1万+
SQL注入漏洞简介、原理及防护 SQL注入原理 SQL注入 SQL注入危害 SQL注入分类 SQL注入防护
SQL注入漏洞(类型篇)
errorr0
06-24 3062
SQL注入类型
SQL注入漏洞简单挖掘-01
09-15
SQL注入漏洞简单挖掘-01 SQL注入漏洞是Web应用程序中的一种常见漏洞,它是由于Web应用程序对用户输入的不当处理所导致的。SQL注入漏洞的成因是由于Web应用程序使用用户输入数据构建SQL语句时,没有正确地过滤和转义...
YXcms-含有SQL注入漏洞的源码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的源码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
CSZ CMS 1.2.X sql注入漏洞
09-07
CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 ## 二、漏洞影响 CSZ CMS ...
常见安全漏洞及其解决方案
A_991128a的博客
06-17 6581
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
解决sql漏洞
m0_62102386的博客
07-11 710
查询多行多列。
SQL注入攻击介绍
热门推荐
99度灰的博客
03-30 3万+
SQL注入攻击介绍 一、SQL注入攻击简介 SQL注入攻击是指,后台数据库操作时,如果拼接外部参数到SQL语句中,就可能导致欺骗服务器执行恶意的SQL语句,造成数据泄露、删库、页面篡改等严重后果。按变量类型分为:数字型、字符型;按HTTP提交方式分为:GET注入、POST注入、Cookie注入;按注入方式分为:报错注入、盲注(布尔盲注、时间盲注)、堆叠注入等等。 二、SQL注入分类 按变量类型分类:如SQL语句为select *from user where param=1(数字型)、select *fr
SQL注入漏洞详解
weixin_44756468的博客
04-21 2377
差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限,我们可以把数据库备份称asp文件,这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。
sql注入漏洞详解
qq_73792226的博客
02-28 1048
1.原理:当我们访问动态网站时,web服务器会向数据访问层发起sql查询请求,如果权限验证通过就会执行sql语句(这种网站内部发起的sql语句一版没有危险,但很多情况下要结合用户输入数据动态构造sql语句,如果用户输入恶意的sql代码,web又不对动态数据进行审查,则会有意想不到的危险)联合注入,布尔盲注,报错注入,延时盲注,宽字节与二次注入,Cookie注入,http header注入(各种类型不做详解,后续可能会做)select * from where id = x and 1 = 1;
【网络安全SQL注入原理及常见攻击方法简析
等风来
04-18 6894
因此,攻击者可以在用户名或密码中添加 --,来注释掉后面的字符串,从而绕过过滤器的检测。攻击者不停地尝试不同的SQL语句,观察程序的响应时间,从而判断SQL语句是否正确,进而获取数据库中的敏感信息。该方法的基本原理是,在输入框中输入一个带有单引号的字符串,如果应用程序对输入参数没有进行正确的过滤和转义,则会发生语法错误,进而证明存在 SQL 注入漏洞。基于布尔盲注的SQL注入攻击是一种利用目标Web应用程序对SQL查询条件正确/错误响应的不同表现来推测查询语句的正确性,从而获取数据库中敏感信息的攻击方式。
SQL注入
qq_31088019的博客
08-04 1902
sql注入
SQL注入漏洞
ZYP_997_的博客
01-17 4687
原理 基本流程 分类 利用工具sqlmap 防御 一、SQL注入 SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。 SQL注入的概念 (1)SQL注入漏洞原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQ
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值