本文详细探讨了SQL注入的安全测试危害、产生原理,介绍了如何判断注入点及利用Sqlilabs靶场和真实MySQL靶机进行实战演练。通过实例展示了数据收集和利用information_schema获取数据库信息的方法。
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
思维导图:
1、SQL注入安全测试中危害
大部分的SQL注入是对数据库中的数据进行操作,绕过查询、更新或者是删除;
SQL注入可以操作数据,通过SQL注入直接进行后门的写入;
**两个危害:**一个是危害数据库中的数据,另一个直接危害网站权限;
2、SQL注入产生原理详细分析
SQL注入原理:通过参数的传递,传递数据过去,拼接到之前定义好的SQL语句中去,由于能拼接,将一些恶意的SQL语句拼接上去,语句就会进行一些重新的用法,实现自定义的查询;
补充:为什么图片里面的id=-2,因为我们要查询的表是另外一个,所以要把前面的查询语句置否,然后数据库就会执行后面那句;
必备条件:
(1)可控变量
像下面这个变量id就是可控变量,通过参数传递,可以对id进行变化;
因为这里的**id= i d ∗ ∗ , 是 变 量 可 以 修 改 , 如 果 给 定 了
最低0.47元/天 解锁文章
扫一扫
1134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
