【网络安全】浅识 SQL 注入_sq注入asclii,阿里官方推荐

于 2024-04-14 05:06:54 发布
阅读量871 收藏 17
点赞数 17
分类专栏: 2024年程序员学习 文章标签: web安全 sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83739632/article/details/137732707
版权
  1. 用户信息被非法倒卖;
  2. 危害企业,政府,国家安全;

分类

以注入位置分类

  • GET 注入
  • POST 注入
  • Cookie 注入
  • 搜索注入

以参数类型分类

  • 字符注入
  • 数字注入

以注入技术分类

  • 错误注入
  • 布尔注入
  • UNION 注入
  • 时间盲注
  • ASCII 逐字解码:折半拆解

基础语法

数据库操作

SQL 作用
SHOW DATABASES; 显示 MySQL 的数据库列表;
USE DBNAME; 指定接下来要操作的数据库;
SHOW TABLES; 显示该数据库的所有数据表;
SHOW TABLE STATUS FROM DBNAME; 显示该库中所有表的详细信息;
SELECT VERSION(); 查看数据库管理系统的版本;
SELECT DATABASE(); 查看当前使用的是哪个数据库;
SELECT USER(); 查看当前使用的用户;
SELECT @@DATADIR 查看数据库的数据路径;
SELECT @@BASEDIR 查看数据库的安装路径;
SELECT @@VERSION_COMPILE_OS 查看操作系统的版本;

数据表操作

image.png

image.png

image.png

image.png

数据操作

插入: image.png

查询: image.png

删除:

最低0.47元/天 解锁文章
2401_83739632
关注
  • 17
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASCII编码表 -- SQL注入 也需要
weixin_33957648的博客
02-20 195
ASCII编码表 转换为繁体中文     ASCII是英文American Standard Code for Information Interchange的缩写。ASCII码是目前计算机最通用的编码标准。 因为计算机只能接受数字信息,ASCII码将字符作为数字来表示,以便计算机能够接受和处理。比如大写字母M的ASCII码是77。 ASCII码中,第0...
sql注入
YHLJFQL的博客
07-28 715
例如substr('admin',2,3)获取的结果就是'dmi';columns源数据库的表储存mysql所有数据库数据库名和表名但是它和上面table表的区别在与,它还存储有所有表的字段名。首先and前面的不用看就是正常的url,转码(获取字符((展示合并(表名字段)表源数据库.tables表。到这里我们获取了数据库名字,又获取了数据库里面所有的表名了接下来选取,一个我们认为有用的表获取它的字段名。这里就获取数据库名字,数据库里面的表名字,表里面的字段名字,就可以开始我们的终极目的了。......
Java程序员从笨鸟到菜鸟之(一百零一)sql注入***详解(二)sql注入过程详解
weixin_34362875的博客
10-25 387
在上篇博客中我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其中有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入***的总体思路是: 1.发现SQL注入位置; 2.判断后台...
SQL注入漏洞
weixin_52878095的博客
08-01 254
SQL注入基本原理 原理: SQL注入指是服务器未严格校验客户端发送的数据,而导致服务端SQL语句被恶意修改并成功执行的行为。 原因: 代码对带入SQL语句的参数过滤不严格 未启用框架的安全配置 未使用框架安全的查询方法 测试接口未删除 未启用防火墙 未使用其他的安全防护设备 危害: 可能导致数据泄露或数据破坏,缺乏可审计性,甚至导致完全接管主机。 SQL注入基本知识 MySQL默认的数据库有sys、mysql、performance_schema、information_schema; informa
漏洞篇(SQL注入一)
m0_58001548的博客
03-26 1129
此时我们输入的第一个单引号将 username 的单引号闭合,相当于输入了一个空用户,or 表示左右两边只要有一边条件判断成立则该语句返回结果为真,其中 1=1 永远为真,所以当前 SQL 语句无论怎么执行结果永远为真,--空格表示注释,注释后面所有代码不再执行。我们可以看到上面我们闭合的方法是没有输入用户名的,所以并不能成功登陆。
SQL.rar_sql注入_网络安全_网络安全 试题
09-20
这个是对网络安全 方面防SQL注入的总结
网络安全技术13SQL注入.pptx
11-12
网络安全技术之SQL注入 SQL注入是一种常见的网络攻击手段,它通过在Web应用程序中插入恶意的SQL代码来攻击数据库,从而获取敏感信息或控制数据库。本文将对SQL注入进行详细的介绍,包括其概念、类型、攻击方法、...
SQL.rar_sql injection_sql 注入_sql注入
09-14
sql注入测试程序 sql injection expoit code
zhuru.rar_SQL inject_asp注入_sql 注入_sql注入_zhuru sql
09-14
sql注入测试程序,asp+access注入测试小程序
安全补丁_sql注入补丁_sql注入_youngqb8_安全_NC56_
09-29
NC56网络安全补丁,SQL注入。IUFO防注入
sql注入(三)绕过方法及防御手段
m0_63306943的博客
05-02 7694
1)如果 waf 过滤了逗号,并且只能盲注,在取子串的几个函数中,有一个替代逗号的方法就是使用 from for ,其中 pos 代表从 pos 个开始读取 len 长度的子串。rlike 模糊匹配,只要字段的值中存在要查找的 部分 就会被选择出来,用来取代 = 时,rlike 的用法和上面的 like 一样,没有通配符效果和 = 一样。因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,
【超详细版】学习SQL注入看这篇就够了(原理及思路绕过)
MachineGunJoe666
04-27 4056
web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
SQL注入——布尔盲注,延时盲注,宽字节注入
weixin_46601374的博客
02-27 2391
什么是盲注? 有时目标存在注入,但在页面上没有任何回显,此时,我们需要利用一些方法进行判断或者尝试得到数据,这个过程称之为盲注。 盲注函数 length() 函数 返回字符串的长度 ?id=1 and length(database())>1 substr() 截取字符串 , 从第一位截取一个 id=1 and substr(database(),1,1)='k' substr(内容,1,1) 显示第一个字符 ord()/ascii() 返回字符的ascii码 ..
SQL注入3(盲注)
嚴 帅的博客
04-26 442
一、布尔型盲注 布尔型盲注是由于页面提交数据在与数据交互是完全没有在页面上出现回显数据,只会出现数据提交正确和错误俩种不同页面(报错型至少语法错误会回显错误在页面上)或者无法使用联合查询。 前三个步骤还是像前面联合注入和报错注入相同,需要判断出闭合方式。然后利用页面给我们呈现出的正确和错误的不同回馈来逐个猜测数据库中的内容。因为是通过猜测来判断数据库中的信息,显然这里就需要用到脚本来实现判断。...
SQL注入详解
热门推荐
qq_48904485的博客
03-21 2万+
针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。 其成因可归结为以下两个原理叠加造成: 1、程序编写者在处理程序和数据库交互时,使用字符串凭借的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 SQL注入的攻击方式分为:报错注入、布尔盲注 、延时注入、堆叠查询、联合查询 、二次注入等等
sql注入知识点
m0_55772907的博客
04-27 3566
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
特殊时间盲注——对字符进行编码,并通过正常查询获取字符_SQLI-LABS Less-62
Ho1aAs‘s Blog
04-19 376
文章目录前言一、特性Ⅰ、MySQL查询不区分大小写Ⅱ、采用编码的原因Ⅲ、MySQL字符串和数字拼接特性二、编码时间盲注的想法三、代码流程、字典变量、注入点构造、获取每一位的字符1、正则表达式获取用户名,并获取id值2、对字母的操作3、对数字的操作 前言 记一次特殊的时间盲注,题目来源于SQLI-LABS的Less62 题目闭合单引号和括号注入,正常查询的表有13个数据,会回显查到的ID对应的记录,限定查询次数130次,需要得到:表名10字符、列名4字符、flag24字符,均为大小写、数字混合 正常查询:
sql注入_万户oa_documentedit.jsp
最新发布
01-21
SQL注入是一种常见的安全漏洞攻击方式,它是指攻击者通过在应用程序的输入字段中插入恶意的SQL代码,以获取或篡改数据库中的数据。在万户OA系统的documentedit.jsp页面中,如果未对用户输入进行正确的过滤和验证,可能存在SQL注入漏洞。 攻击者可以通过在输入字段中输入恶意的SQL语句,来实施SQL注入攻击。例如,攻击者可以通过在输入字段中输入'; DROP TABLE table_name; --'来删除数据库中的表。 为了防止SQL注入攻击,我们可以采取以下措施: 1. 输入验证和过滤:对用户输入进行严格的验证和过滤,只允许特定的字符或特定的输入格式。可以使用正则表达式、白名单过滤等方式来限制输入格式。 2. 参数化查询:使用参数化的SQL查询语句,而不是拼接字符串的方式来构建查询语句。参数化查询可以有效地防止SQL注入攻击。 3. 最小特权原则:为数据库用户提供最小的权限,仅允许其执行必要的操作。限制用户对数据库的访问权限可以减少潜在的风险。 4. 定期更新和维护:及时应用数据库供应商提供的安全补丁和更新,以修复已知的漏洞。 总之,针对万户OA系统中的documentedit.jsp页面,我们需要加强输入验证和过滤,使用参数化查询,限制数据库用户权限,以及及时更新和维护数据库,以防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值