什么是sql注入

最新推荐文章于 2024-09-19 21:27:19 发布
最新推荐文章于 2024-09-19 21:27:19 发布
阅读量201 收藏
点赞数
分类专栏: 安全 文章标签: sql 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhangYuXin_/article/details/89258947
版权

什么是sql注入?

注入攻击是攻击者通过web把恶意的代码传播到其他的系统上,这些攻击包括系统调用和后台数据库调用等。当一个web用用程序通过HTTP请求把外部请求的信息传递给应用后台时,必须非常小心,否则注入攻击就可以将特殊字符、恶意代码或者命令改变器注入这些信息中,并传输到后台执行。
由于SQL注入是从正常的web端口攻击的,而且看起来和一般的web页面一样,所以目前防火墙无法发现SQL注入攻击。如果网站管理员没有查看IIS日志的习惯.则可能在被注入攻击后很长时间都不会发觉,所以SQL注入攻击是目前黑客比较喜欢的攻击方式。

举个栗子!!
我这边用的是原生代码
login.html


<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="utf-8">
		<title>简单SQL注入页面</title>
	</head>
 
	<body style="background-color: #006400">
	
		<h2 align="center" style="color: white">图书管理系统后台登录</h2>
		<!--将用户输入的user,和pass提交到login.php-->
		<form align="center" action="login.php" method="post" enctype="multipart/form-data">
		        <!--用户输入的账号存储在user变量,密码存储在pass变量-->
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;color:white;font-size:16px;">账 号:<input type="text" name="user" value="" max="10"></p>
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;color:white;font-size:16px;">密 码:<input type="password" name="pass" value="" min="6" max="16"></p>
			
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;"><input type="submit" name="submit" value="登录"></p>
		
		</form>
		
	</body>
</html>

login.php

<?php
$con=mysqli_connect("localhost","root","root","test");
	if(!$con)
	{//连接失败会输出error+错误代码
		die("error:".mysqli_connect_error());
	}
//把用户在index.html输入的账号和密码保存在$user和$pass两个变量中
	$user=$_POST['user'];
	$pass=$_POST['pass'];
$sql="select * from user where username='$user' and pwd='$pass'";
// print_r($sql);
$res=mysqli_query($con,$sql);
 print_r($res);
 // $row=mysqli_fetch_array($res,MYSQLI_NUM);
if($res->num_rows == 1)
	{
		echo "登录成功!";
	}
	else
	{
		echo "登录失败!";
	} 
?>

数据库就这样
在这里插入图片描述
我们故意输入错误密码. 账号abc 密码456 就会显示登录失败
在这里插入图片描述
如果我们使用sql注入的话
在用户名输入’ or 1=1 --,然后随便输入一个密码 或者不输入密码 直接点击登录
在这里插入图片描述
就会显示登录成功.
在这里插入图片描述

为什么呢??
在这里插入图片描述
今天工作一天累死 至于怎么防止呢 下篇文章见 !!

ZhangYuXin_
关注
专栏目录
什么是SQL注入攻击?
南_茗的博客
05-18 4311
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
五分钟快速搞懂什么是SQL注入-SQL注入详解(干货满满)
03-28
sql注入### 内容概要 本文是一篇关于SQL注入的详解,专为初学者设计。文章以通俗易懂的语言和幽默感,介绍了SQL注入的概念、防范方法、实际案例等。通过生动的例子和简单的故事,读者可以快速上手SQL注入,并在实际...
PHP+MySQL实现简单的登录(SQL注入入门实验)
江左盟的博客
06-03 1万+
本实验是入门级的SQL注入实验,手工注入吧,用sqlmap就没意思了,简单过程:用户输入用户和密码然后提交,服务端收到用户和密码并查询数据库输出到页面。 一、创建数据库 create database web1; 创建两张表,一张保存登录用户和密码,另一张保存flag: create table test(user varchar(15),password varchar(16)); c...
什么是SQL注入
weixin_45626840的博客
04-25 1万+
sql注入的原理。 什么是SQL注入sql注入怎么发生?
sql注入详解
热门推荐
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
什么是SQL注入
weixin_40851188的博客
05-02 2万+
有人的地方就有江湖,有数据库存在的地方就可能存在 SQL 注入漏洞。 什么是SQL 注入? SQL 注入是一种非常常见的数据库攻击手段,SQL 注入漏洞也是网络世界中最普遍的漏洞 之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一 般用的就是 SQL 注入方法。 SQL 注入其实就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程...
什么是SQL注入SQL注入详解(非常详细)零基础入门到精通,收藏这一篇就够了
weixin_45840241的博客
05-22 1万+
注意,在上面这个mapper文件中,只有一个select语句,而这个语句传参使用了符号$,它会把参数值直接进行替换,而不会进行预编译(如果使用占位符#,就会进行预编译,从而可以防止SQL注入)。(2) 加 ’and 1=1 此时sql 语句为:select * from table where name=’admin’ and 1=1’ ,也无法进行注入,还需要通过注释符号将其绕过;这显然是不对的,接口把查询范围之外的数据都搜索出来了,如果还有一些修改数据或者操纵数据库的一些命令,那就更危险了。
一文搞懂什么是SQL注入---SQL注入详解
Li_Jian_Hui_的博客
04-26 1万+
文章目录一:什么是sql注入二:SQL注入攻击的总体思路三:SQL注入攻击实例四:如何防御SQL注入1、检查变量数据类型和格式2、过滤特殊符号3、绑定变量,使用预编译语句五:什么是sql预编译1.1:预编译语句是什么1.2:MySQL的预编译功能六:为什么PrepareStatement可以防止sql注入(1)为什么Statement会被sql注入(2)为什么Preparement可以防止SQL注入。 一:什么是sql注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
什么是sql注入,如何防止sql注入
m0_37531231的博客
07-15 8670
1、什么是 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 //比如这是一个用户登录Dao层的查询操作 select * from user where username=? and password =?; //username 和 password通过web表单穿过来 例如: username=admin...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
LeetCode_sql_day28(1767.寻找没有被执行的任务对)
最新发布
Darling博客
09-19 483
掌握 用recursive循环 构造数列先用1作为起点再将一个值作为where 终点 此处来源表为recursive后的表。
SQL Server全方位指南:从入门到高级详解
qq_43535970的博客
09-19 922
本文为您提供了关于SQL Server的全面教程,覆盖了入门、进阶和高级三大部分。首先,我们介绍了SQL Server的基础知识,包括数据库创建、表操作、数据查询、更新等基本SQL语法。接着,深入探讨了事务处理、索引优化、联合查询、视图、存储过程及触发器等进阶技术。最后,文章详细讲解了查询优化、分区表、高可用性、灾难恢复、透明数据加密以及大数据支持等高级特性。无论您是初学者还是高级用户,都能通过本文获得深入的SQL Server知识与实践技巧。
SqlDb_.cs 与 csharp_SqlDb.h
weixin_42944928的博客
09-16 429
【代码】SqlDb_.cs 与 csharp_SqlDb.h。
经典sql题(一)求连续登录不少于三天用户
m0_58076578的博客
09-14 1018
去重提取日期查询:提取每个用户的唯一登录日期。结果表table1:显示每个用户的唯一日期。为每个用户生成序列号查询:为每个用户的日期生成序号,并计算date2。结果表table2:显示用户的日期和对应的date2。步骤使用函数,按照日期顺序为每个用户的登录日期分配一个序号。例如,对于用户 ID = 1,假设他们的日期是2023-10-012023-10-02和2023-10-03将为它们生成序号 1、2 和 3。date2是通过将每个日期减去它的序号得到的。这个操作的目的是为了检测连续的日期。
sqlgun靶场通关攻略
2301_80402555的博客
09-13 727
输入 -1' union select 1,2,3# ,页面出现回显点。
Postgresql导入sql文件数据
fxtxz2的专栏
09-13 351
经常有工友喊我导入一下sql到postgresql数据库中。今天就用命令行来导入sql数据。
什么是sql注入攻击
04-21
SQL注入攻击是一种常见的网络安全漏洞,它利用了应用程序对用户输入数据的不正确处理,从而使攻击者能够执行恶意的SQL语句。通过注入恶意的SQL代码,攻击者可以绕过应用程序的身份验证和授权机制,获取、修改或删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值