SQL注入(一)——基本分类

最新推荐文章于 2024-07-31 10:04:13 发布
最新推荐文章于 2024-07-31 10:04:13 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: # sql 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/108655743
版权

文章目录

SQL注入定义

    SQL注入是攻击Web应用后台数据库系统时常使用的技术手段。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

判断是否存在SQL注入的方法

1、通常情况下,可能存在 Sql 注入漏洞的 Url 是类似这种形式 :
http://xxx.xxx.xxx/abcd.php?id=XX
对 Sql 注入的判断主要有两个方面:
      • 判断该带参数的 Url 是否存在 Sql 注入?
      • 如果存在 Sql 注入,那么属于哪种 Sql 注入?
    可能存在 Sql 注入攻击的 ASP/PHP/JSP 动态网页中,一个动态网页中可能只有一个参数,有时可能有多个参数。有时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的 动态网页且此网页访问了数据库,那么就有可能存在 Sql 注入。

2.get请求我们通常在后面添加一个“’”(单引号)来判断其是不是存在SQL注入。服务器报错并把其错误信息显示在网页上时,根据错误信息判断这里大概率存在注入点。

SQL分类

按输入类型

数字型注入

顾名思义,要求用户输入数字类型。
当输入的参 x 为整型时,通常 abc.php 中Sql 语句类型大致如下:

select
最低0.47元/天 解锁文章
DiliLearngent
关注
专栏目录
SQL注入(二)之注入分类
不秃头的程序Yang
03-21 191
一 前期准备 01 查询IP 02 启动phpstudy 03 访问网站 二 数字型注入
SQL注入的几种类型和原理
yz_weixiao的博客
02-15 263
老实说,这篇笔记鸽了3个星期左右,有几个原因。漏洞点都要自己进行验证,比较缓慢最近工作上有点忙,下班无心学习我在摸鱼……。笔者学习是比较容易偏离方向,比如DNSlog盲注时抓包发现请求有点不合常理,又跑去找资料看……老实说,这篇笔记鸽了3个星期左右,有几个原因。漏洞点都要自己进行验证,比较缓慢最近工作上有点忙,下班无心学习我在摸鱼……。笔者学习是比较容易偏离方向,比如DNSlog盲注时抓包发现请求有点不合常理,又跑去找资料看……
SQL注入主要可以分为以下几种类型
最新发布
hljdengbaoceping的博客
07-31 514
3.布尔盲注:当SQL注入后服务器不直接返回查询结果,而是根据查询结果的真假影响页面的显示时(例如页面加载速度变化、特定内容的存在与否),攻击者通过构造带有布尔表达式的SQL语句,逐步推断出数据。2.联合查询注入:当原查询中使用了SELECT语句,并且错误信息返回时,攻击者可以通过UNION操作符将多个SELECT语句的结果合并,从而从其他表中提取敏感信息。1.基础注入:这是最直接的SQL注入形式,攻击者通过修改查询语句的某个参数,插入额外的SQL代码,改变原有查询逻辑,以达到非法获取数据的目的。
Sql注入分类:数字型+字符型
weixin_30496431的博客
07-25 671
Sql注入: 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过构造恶意的输入,使数据库执行恶意命令,造成数据泄露或者修改内容等,以达到攻击的目的。主要是由于应用程序对用户的输入没有进行严格的过滤而造成的。 一、万能密码 在说sql注入分类之前,先来看一下万能密码的构成原理。万能密码是由于某些程序,通过采用判断sql语句查询...
SQL注入分类,一看你就明白了。SQL注入点/SQL注入类型/SQL注入有几种/SQL注入分类
热门推荐
wangyuxiang946的博客
02-18 2万+
根据输入的「参数」类型,可以将SQL注入分为两大类:「数值型」注入、「字符型」注入。 根据数据的「提交方式」分类:GET注入、POST注入、Cookie注入、HTTP Header注入。 根据页面「是否回显」分类:显注、盲注。
SQL注入之注入分类
注定风是不羁旅人
12-06 633
1.什么是SQL注入? 个人理解为,在平常用户与浏览器交互的过程中,通过某种方式将我们想要执行的非法sql命令,注入到服务器中,最终达到欺骗服务器执行恶意sql命令的目的。 2.注入分类 按照注入点类型进行分类 数字型注入点 字符型注入点 搜索型注入点 按照数据提交方式进行分类 GET注入 POST注入 Cookie注入 HTTP头注入 按照执行效果进行分类 基于布尔的盲注 基于时间的盲...
SQL注入分类介绍
weixin_45321483的博客
06-16 341
1、数字型注入 假设存在一条 URL 为: HTTP://www.aaa.com/test.php?id=1 1.可以对后台的 SQL 语句猜测为: SELECT * FROM table WHERE id=1 2.先在输入框中输入一个单引号 ' 这样的 SQL 语句就会变为: SELECT * FROM table WHERE id=1' 3.在输入框中输入 and 1 = 1 SQL语句变为: SELECT * FROM table WHERE id=1 and 1 = 1 ...
sql注入初学——松风1
08-03
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或验证用户输入的情况下,允许攻击者向SQL查询中插入恶意代码。本文将深入探讨SQL注入基本概念、检测方法以及针对不同数据库类型的识别技术。 ...
SQL注入防护——从一款注入工具入侵原理入手.pdf
09-19
啊D注入工具是一种流行的SQL注入攻击工具,它的基本攻击步骤包括寻找注入点、猜解表名、猜解字段名等。寻找注入点就是找到那些可以被用户输入影响并执行SQL语句的URL链接。猜解表名和字段名则是通过逐步测试数据库中...
SQL注入简单总结——过滤逗号注入.pdf
04-08
"SQL注入简单总结——过滤逗号注入"的主题主要探讨了如何处理那些针对逗号(`,`)进行过滤的SQL注入情况。在SQL语句中,逗号常用于分隔不同的元素,例如在`UNION`、`LIMIT`等子句中。 1. **过滤逗号的绕过方法**: ...
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
sql注入分类
Superpig的博客
11-05 482
绕过登录 一般是绕过用户名、密码,具体方法如下: 已知源码sql语句为 select * from table where name='$name' and password='$passwaord' 则可以通过注入 'or 1=1 - - 实现绕过(原理:使where后面的条件恒真) 类型二: 使用union实现注入,例: 已知某登录验证方式为用户输入用户名、密码,通过从数据库中提取该用户...
SQL注入分类详解
qq_39654116的博客
04-11 7198
SQL注入 1.SQL简介 SQL 指结构化查询语言 SQL 使我们有能力访问数据库 SQL 是一种 ANSI 的标准计算机语言 注:ANSI,美国国家标准化组织 2.注入的形成 简单的说就是没有对我们输入的语句进行严格的过滤,把我们的语句带入到数据库中执行了,是我们完成攻击的过程 例子 $sql = 'select * from test where id='.$_GET['id']; 假...
SQL注入分类,一看你就明白了。SQL注入点_SQL注入类型_SQL注入有几种_SQL注入分类
资深程序员,曾自学JAVA,C#,如今从业于网安行业
04-12 361
根据输入的 「参数」类型,可以将SQL注入分为两大类: 「数值型」注入、 「字符型」注入。
SQL注入分类与详解(转载)
weixin_30878361的博客
08-20 473
SQL注入分类与详解 原文地址:点击跳转 字数统计:11,729 字|阅读时长 ≈47 分钟 对SQL注入的大概分类总结,和一些基础的利用方法。 SQL注入是一种通过操纵输入来修改后台SQL语句以达到利用代码进行攻击的技术。 SQL注入产生的危害很多,比如后台用户及密码泄露、会员用户信息泄露、读写文件,甚至可以获得服务器权限。因此,SQL注入也是OWSP TOP ...
SQL注入分类
子曰小玖的博客
03-02 2408
**SQL全称是Structured Query Language** 是一种结构化的查询语言,用于与数据库进行交互并能够被数据库解析。SQL注入攻击是一种常见的注入攻击类型。攻击方式在用户与程序进行交互时发生的。如在表单输入、搜索框输入功能中插入SQL命令,然后发送到服务端。服务端对数据进行了解析执行,并执行了一些非预期的操作。 **按照注入点类型来分类** **(1)数字型注...
"SQL注入初学——松风:利用技巧检测漏洞和识别数据库种类
SQL注入是一种常见的Web应用程序安全漏洞,可以让攻击者执行恶意的SQL语句,从而获取到数据库中的敏感信息或者修改数据库内容。本文将从初学者的角度介绍SQL注入的一些基本技巧和方法。 首先,我们可以通过在URL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值