原理
- 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
重点部份手工注入网站:
1:开发一个注入网页漏洞。(产生机理…,如何去挖掘一个网站注入漏洞)
A:创建数据库的后台(加入数据)
- mysql> create database information;
- mysql>use information;
- mysql> createtable user(id smallint(6) NOT NULL AUTO_INCREMENT,username varchar(60) NOTNULL,password varchar(60) NOT NULL,email varchar(100) NOT NULL,commentvarchar(100) NOTNULL,PRIMARY KEY(id));
- desc user;
B:插入数据
- mysql> insertinto user(id,username,password,email,comment) values( 1,'daiv','123456','446589364@qq.com','chendou');
- mysql> insertinto user(id,username,password,email,comment) values( 2,'xjh','654321','44345454@qq.com','gansu');
- mysql> insertinto user(id,username,password,email,comment) values( 3,'mc','346546','3455345454@qq.com','yunlan');
- mysql> insertinto user(id,username,password,email,comment) values( 4,'drs','346w678786','3454565454@qq.com','ls');
- mysql> insertinto user(id,username,password,email,comment) values( 5,'wpl','3555786','34667454@qq.com','gaoxing');
- mysql> insertinto user(id,username,password,email,comment