SQL注入

最新推荐文章于 2021-09-21 23:44:13 发布
最新推荐文章于 2021-09-21 23:44:13 发布
阅读量175 收藏
点赞数
分类专栏: 数据库 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deronn/article/details/86548107
版权

sql注入是一种很常见的攻击方式,因为sql语句的特性,如果程序员在编写逻辑时没有考虑到数据库安全,在输入参数的过程中就有可能被注入有害的sql语句,从而达到攻击数据库的目的。

SQL注入攻击的总体思路:

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不同的服务器和数据库特点进行SQL注入攻击

 

SQL攻击的两个实例:

1.页面输入查询条件进行查询

如果后台对输入参数查询的逻辑像下面这样:

String pram = request.getParameter("parm");
String sql = " select * from user where name ='"+pram +"'";
//execute sql...

如果输入的参数为:';drop database MyDataBase ;select 'a

就有可能被删掉整个数据库,对于系统来说无疑是灾难性的。

2.输入用户名和密码进行登录验证

前端页面要求用户输入用户名和密码,如果后台逻辑如下:

String userName = request.getParameter("userName");
String password = request.getParameter("password");
String sql = " select * from user where userName='"+userName+"' and password = ' "+password+"'";
//execute sql...

如果输入的两个参数为:

userName: ' or 1=1 --

password: aaa

那么sql就变成:

select * from user where userName ='' or 1=1 --' and password = 'aaa'

可以这样输入实现免帐号登录。

 

Amazing_deron
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
关于AJAX异步处理的简单介绍及原创JSP应用实例
sidac的专栏
07-07 2070
AJAX全称为“Asynchronous JavaScript and XML”(异步JavaScript和XML),是指一种创建交互式网页应用的网页开发技术。它有机地包含了以下几种技术: Ajax(Asynchronous JavaScript + XML)的定义基于web标准(standards-based presentation)XHTML+CSS的表示; 使用 DOM(Document
手把手struts入门示例
华 英雄
03-05 808
读书不求甚解,遇到不懂的先不用管它,照着指示做就行了。所谓实践出真知,做完不用我解析,你自己都会明白的。让我们先把它运行起来,培养点成就感再说。要不没有动力。开发环境:Tomcat  5.5struts 1.3.8SDK j2sdk 1.5关于环境的配置可以参考我另外一篇文章《超简单配置Tomcat+struts》我们要做的是一个简单的加法器,就是求1+1等于多少的。我们先看看效果图,所谓胸有
request.getParameter()、request.getInputStream()、request.getReader()
骑个小蜗牛的博客
09-21 9095
1.request.getParameter(String s) 1.1 返回: Map (String,String),当参数中存在重复的key时,用这个方法只能获取到其中一个的值。 1.2 获取参数范围: 请求url的Query String部分 编码类型为application/x-www-form-urlencoded(参数被放入到Form Data) 注意:当Content-Type设置为 “application/josn” ,请求参数是会被放入Reqest Payload 2.req
Amazing Function of SQL
tyjhField的专栏
08-23 308
You can use "||" to cascate columns or formate. select columnA || ',' || columnB from table1; you will get strings that made up with "columnA ,columnB".
MyBatis学习笔记(三)——parameterType为基本类型时的使用方法
Horizon_LGMH的博客
08-15 3万+
当mapper中的parametType为基本类型(如int,string等)时,是怎样使用的 最简单的使用方法: select id, name from bc where name = #{name} 这里的参数#{}中写什么变量名都可以,mybatis会自动给赋值。而当使用if语句时,比如 select id, name from bc n
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
sql注入字典fuzz
01-11
### SQL注入字典Fuzz详解 #### 一、引言 在网络安全领域,SQL注入攻击是一种常见的威胁方式,它利用数据库应用系统中的漏洞,通过恶意构造的SQL语句来获取敏感数据或对数据库进行非法操作。为了有效地检测和防范...
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
SQL注入思路详解
12-14
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序在处理用户输入数据时的不足,使得攻击者能够构造恶意的SQL语句来控制或篡改数据库。本文将深入解析SQL注入的思路,帮助你理解和防范这种攻击。 首先,SQL...
springMvc 完美解决 multipart/form-data 方式提交请求 在 Filter 中 ServletRequest.getParameter方法 获取不到参数的问题
不是好汉
05-17 3万+
springMvc 解决 multipart/form-data 方式提交请求 ,在Filter 中 ServletRequest.getParameter方法 获取不到参数的问题
request.getParameterValues()用法
热门推荐
java_freshman01的专栏
08-10 3万+
本文转自:http://freesky1002.iteye.com/blog/142962 你希望学习哪些程式语言: JSP  PHP  PERL 这些input type名称都叫做langtype,如果用request.getParameter("langtype")来取
SQL注入攻击技术详解
"SQL注入实战教程,涵盖ACCESS、MySQLSQL SERVER和ORACLE的注入技巧,由讲师闵海钊讲解,内容包括注入点检测、表名和列名的猜解、长度判断等。" SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值