关于sql 注入 一点拙解

最新推荐文章于 2024-09-15 22:09:27 发布
置顶 最新推荐文章于 2024-09-15 22:09:27 发布
阅读量351 收藏
点赞数 2
文章标签: sql 数据库 insert textbox button user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjy369/article/details/3746937
版权

我做的学生信息管理系统的界面

 

有两个textbox 两个button

 

两个文本框的名字分别是:UserName,UserPassword,

在数据库中分别对应两列:LoginUserName,LoginUserPassword

在登录验证时,我们一般的验证语句是:

select * from LoginInfo where LoginUserName='user001' and LoginUserPassword='1234'

在代码中的表现语句为:

Select * from LoginInfo where LoginUserName=”+UserName.text+” and LoginUserPassword=”+UserPassword.text+”

在验证时,文本框中的内容是作为验证串的一部分的,所以验证串我们是可以自己改变的!

那么我们就可以在第一个文本框中这样输入:aor LoginUserName <> a (此处红色”与上面的UserName.text对应起来看)

同样第二个文本框中的内容我们也可以这样输入:b or LoginUserPassword <> b(此处红色”与上面的UserPassword.text对应起来看)

 

通过上面的验证就可以保证输入的验证字符串是正确的,并可以保证返回的是true

这样再点登录按钮时,即使不知用户名和密码也可以登录了

―――――――――――――――――――――――――――――――――――――――

如果是用户名和密码分开验证那么它的验证串一般这样写:

Select * from LoginInfo where LoginUserName=’”+UserName.text+”’”

这样我们就不知道密码了,但我们可以通过这样的方式来在数据库中增加一条记录:

UserName这个文本框中这样输:a'; insert into Info.LoginInfo values('uservvv','1234');

 

这样构成的整体语句为:SELECT * FROM Info.LoginInfo WHERE LoginUserName='a'; insert into Info.LoginInfo values('uservvv','1234');就可以在数据库中插入一条用户记录,以后就可以用这个用户和密码登录了!

-筑梦人-
关注
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5196
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
Parameter 'loginname' not found. Available parameters are [arg1, arg0, param
weixin_33787529的博客
12-11 150
2019独角兽企业重金招聘Python工程师标准>>> ...
简单的登录验证判断
李艳平
05-07 792
我们验证用户 登录的账号 密码是不是正确的时候  作为程序员  通常都是这样的思路   我们先回判断 账号是不是为空  是不是存在   不存在  不执行操作 存在的话 就会去找ta 的密码是不是也 符合! 返回一直结果来判断!  using (SqlConnection sqlcnn = new SqlConnection(strcon))             {
处理问题:变量名‘@UserName’已声明。变量名在插叙批次或存储过程内部必须唯一
葵歌小妖
03-26 7238
在做.net版机房收费系统时,遇到这样一个问题:登陆系统时,在B层的登陆函数UserLogin_BLL()中调用了D层的两个函数—判断用户是否存在IsUserExist_DA(),验证密码是否正确CheckPassWord_DA()。在D层的这两个方法中的sql语句及设置参数分别是: (1) 'sql语句 Dim sql As String = "SELECT COUNT(*) FROM
SQL注入笔记(基础部分)
qq_38390532的博客
06-08 953
目录 SQL注入笔记 一、概述 1.什么是SQL注入 2.SQL注入原理 3.注入带来的危害 4.注入示例 二、分类 1.注入点类型分类 数字型注入 字符型注入 2.按照执行效果分类 三、寻找SQL注入点 1.识别web应用与数据库交互的可能输入 GET方法 POST方法 2.手工注入过程 SQL注入笔记 一、概述 1.什么是SQL注入 攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某.....
小白谈SQL注入(二)
x519461623的博客
12-08 275
小白浅谈SQL注入(二) 当你的才华 还撑不起的野心时 那你就应该静下心来学习 今天我们来实战(大佬勿喷) 这里我们使用dvwa进行实战。 实战坏境 下载DVWA 渗透演练平台,Dvwa是用php语言写的安全测试平台,所以我们先要创建一个php开发集成环境。我们可以采用最简单的方法,只要安装上phpstudy,就安装了php开发集成环境。 首先将DVWA解压在phpstudy的WWW目录中...
SQL注入详解
L_longqihang的博客
04-15 581
SQL注入 原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。平台层注入由不安全的数据库配置或数据库平台的漏洞所致;代码层主要是由于程序员对输入未进行细致地过滤...
SQL注入原理简解
weixin_49182737的博客
05-11 3845
SQL注入原理简单介绍
PHP+MysqlSQL注入源码 下载
01-01
SQL注入是一种常见的网络攻击方式,攻击者通过输入恶意的SQL代码来操纵或破坏数据库。当应用程序没有正确地过滤用户输入并将其直接拼接到SQL查询中时,就可能发生SQL注入。例如,一个不安全的登录表单可能会允许攻击...
SQL注入的一个ASP网站源码
12-29
在这个ASP网站源码中,由于存在SQL注入漏洞,攻击者可以利用这一点向服务器发送带有恶意SQL代码的请求,导致数据库执行非预期的操作。例如,如果一个登录页面没有正确过滤用户输入,攻击者可能构造一个包含SQL命令的...
sqlalchemy JSON 字段写入时中文序列化问题
llc的博客
09-12 303
_table_args__ = ({"comment": "表名称"})...extra = Column(JSON, comment="其他属性")...
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》
最新发布
beingstrong的博客
09-15 595
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》详细笔记
SQL(结构性查询语句)
2301_78693337的博客
09-11 444
以上就是今天要讲的内容,本文介绍了基础的SQL语法使用,而sql还提供了大量能使我们快速便捷地处理数据的函数和方法等着我们探索。
大数据-132 - Flink SQL 基本介绍 与 HelloWorld案例
永远好奇,无限进步!
09-12 2272
Flink SQL 是 Apache Flink 提供的一种高层次的查询语言接口,它基于 SQL 标准,为开发者提供了处理流式数据和批处理数据的能力。Flink SQL 允许用户使用标准 SQL 查询语言在数据流和数据表上执行复杂的操作,适用于多种应用场景,如实时分析、数据流处理、机器学习等。Flink SQL 的一大特点是流处理和批处理的统一性。通过同一套 SQL 语法,用户可以同时处理静态数据(批处理)和动态数据(流处理)。这使得应用程序的开发更加简化,因为可以用相同的逻辑编写实时流数据处理和历史数据的
sqlserver常用的sql命令
2301_76664379的博客
09-11 697
备注:D 表示全备份,i 表示差异备份,L 表示日志备份。
mysql DBA常用的sql
weixin_44550507的博客
09-12 663
DBA常用sql,方便性能优化
SQL创建索引加快查询速度的方法
大IT职男日志
09-11 502
进行SQL查询时候,如果数据庞大,查询速度会变得很慢,需要用到索引来加快速度。方法如下:一、创建索引方法1、使用CREATE INDEX 语句创建索引 查看索引:SHOW INDEX FROM 表名;创建索引:CREATE [UNIQUE | FULLTEXT] INDEX 索引名 ON 表名 (表字段,...) ;加参数 UNIQUE 增加唯一键索引,FULLTEXT 全文索引 不加普通索引;前缀索引:create index 索引名 ON 表名 (字段(前n个字符));删除索引:DROP IN
漏洞复现-泛微-E-Cology-SQL
无问社区的博客
09-12 394
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology系统HrmService前台存在SQL注入漏洞。。影响范围:泛微E-Cology9 < 10.65.0建议升级最新版本,已经修复。
SQL注入漏洞测试入门指南
SQL注入漏洞测试入门篇 SQL注入漏洞测试是一种常见的Web应用安全漏洞,通过对用户输入数据的合法性判断不当,攻击者可以 inject恶意 SQL 代码,获取敏感数据或控制服务器。以下是 SQL 注入漏洞测试的相关知识点: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值