关于sql注入的理解

最新推荐文章于 2018-05-21 20:11:46 发布
最新推荐文章于 2018-05-21 20:11:46 发布
阅读量128 收藏
点赞数
分类专栏: oracle 文章标签: SQL MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laz383310051/article/details/83675092
版权 

mysql> show tables;
+----------------------+
| Tables_in_openlab    |
+----------------------+
| MatchedLogRecDetails | 
| emp_14               | 
| logs                 | 
| logs_day_report      | 
| logs_month_report    | 
| logs_year_report     | 
| s_emp                | 
| s_emp13              | 
| s_emp_14             | 
| s_emp_39             | 
| s_emp_hz100521       | 
| s_emp_jlh            | 
| s_user               | 
| s_user_39            | 
| s_user_hz100521      | 
| s_user_jlh           | 
| student              | 
| student_jlh          | 
| user_14              | 
| xu_users             | 
+----------------------+
20 rows in set (0.01 sec)

mysql> select * from s_user;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  0 | jack     | 123456   | 
|  1 | shery    | 123456   | 
|  2 | lianghao | lianghao | 
|  5 | dengtao  | 123456   | 
|  6 | chunzi   | 123456   | 
+----+----------+----------+
5 rows in set (0.01 sec)

mysql> select * from s_user where username='jack' and password='dfsf'or'1'='1';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  0 | jack     | 123456   | 
|  1 | shery    | 123456   | 
|  2 | lianghao | lianghao | 
|  5 | dengtao  | 123456   | 
|  6 | chunzi   | 123456   | 
+----+----------+----------+
5 rows in set (0.00 sec)

mysql> select * from s_user where username='jack';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  0 | jack     | 123456   | 
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from s_user where username='jack' and password='dfsf';
Empty set (0.00 sec)

mysql> edit
    -> ;
//select * from s_user where username='jack' and password='dfs'or'1'='1';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  0 | jack     | 123456   | 
|  1 | shery    | 123456   | 
|  2 | lianghao | lianghao | 
|  5 | dengtao  | 123456   | 
|  6 | chunzi   | 123456   | 
+----+----------+----------+
5 rows in set (0.00 sec)

mysql> edit
    -> ;//select * from s_user where username='jack' and password='dfs'and'1'='1';
Empty set (0.00 sec)

[quote]
[b]总结:jljl'or'1'='1 为固定格式:若关键字为and 那么条件所引用的列为一个值显然不符合
数据库一范式。or在这里表示为或者,同时1=1条件恒为true,但是查询的结果会忽视前面的条件,而返回显示所有记录。说白了sql注入就是用单引号来使sql关键字生效,使用表达式
返回一个true,然而数据库就默认为这个查询的条件为正常且合法的。哎,理解的不是很透彻,以后学的深了在改改。[/b]
[/quote]
footboy2012
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入理解
weixin_38631547的博客
03-21 82
mysql的小知识 sql注入mysql类型数据库结构,mysql中自带4个数据库A. information_schemaB. mysqlC. performance_schemaD. sys 2.在5.6版本mysql中最后的sys更改为test 3.mysql中的特殊库information_schema information_schema数据库是MySQL自带的,它提供了访问数据库元数...
SQL注入详解
L_longqihang的博客
04-15 581
SQL注入 原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。平台层注入由不安全的数据库配置或数据库平台的漏洞所致;代码层主要是由于程序员对输入未进行细致地过滤...
牛腩学习---SQL注入
My Devil's Cry
03-27 1052
从上个星期6开始,几乎每天都看两集牛腩视频。自我感觉这个讲牛腩的老师讲得特别细致,几乎是手把手的教你如何做一个系统。正是由于这个老师教学的认真,让我明白了很多在重构的时候不是非常理解的一些概念,下面就让我来说说吧! 基础总结: 在前5集的时候,这个老师讲了数据库的设计和一些UML图的讲解!虽然和我学习的内容有一点不同,但是慢慢的听讲,感觉接受还是挺容易的!到了6-8集就可以加深
关于sql注入的一些理解
Onetiger_的博客
05-21 710
什么叫做sql注入???sql注入算是一些不法分子的攻击手段,通过sql语句来实现无账号密码登录及其他操作。比如在一个需要登录的界面:账号输入成这样的话,密码可以随意,那么能很轻易的登录进去。因为在这条sql执行的时候,后台的sql语句生成会出现:SELECT * FROM table WHERE username='’or 1 = 1 -- and password='’这种情况下 根本都不需要...
SQL注入——网络安全问题不容忽视!(四)
努力成为架构师的王大雄
05-13 212
   我们接着讲对数据库系统表的攻击 。   我们还是以中南大学党校管理系统为例子。   http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41    and  1=1     如果后台是有漏洞的  后台代码如下写   String id=request.getparameter("id"); ...
谈谈我对SQL 注入的理解
Agnes-井朝
08-10 2191
要说SQL注入还是要感谢我师傅的,听他说在程序开发过程中,我们经常会遇到SQL注入问题,也就是指令隐码攻击。       再说通俗点就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。       想要避免SQL注入,在网上的答案也是五花八门,毕竟要站在巨人肩膀上学习,也要注重总结,下面就是我对避免SQL
终于给“她”弄好了网站
scollen的专栏
10-12 316
终于给“她”弄好了网站!http://www.abaooo.cn哎。。 
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它...综上所述,理解SQL注入的原理并采取相应的防护措施是确保应用程序安全的关键。Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
SQL 注入天书.pdf
08-06
SQL注入天书》是针对这个主题的深度学习资源,旨在帮助读者理解SQL注入的工作原理,并提供实践平台sqli-labs进行技能提升。 **SQLI和sqli-labs介绍** SQL注入SQL Injection)是网络渗透测试中的关键一环,涉及...
pangolinsdl—sql注入工具
06-20
通过理解PangolinsDL的原理和使用方法,安全专业人员能够更有效地评估和防护SQL注入风险,提升系统的安全性。同时,对于开发人员来说,使用这样的工具也是提高代码质量、避免常见安全漏洞的重要途径。
关于SQL注入与避免
12-14
SQL注入是一种针对Web应用程序...总的来说,理解SQL注入的工作原理,以及如何有效地预防和防御,对于保障Web应用程序的安全至关重要。通过实施上述策略,可以显著降低SQL注入攻击的风险,保护用户数据和系统的完整性。
终于知道关键了
Prosurfer's Study Home
10-27 668
SELECT  a.siteid,  a.sitename,  s.viewcount,  s.latestViewTime,  a.SiteUrl,  a.StaffName  from AdInfo as ainner join (select SiteID, count(*) as viewcount, max(ViewTime) as latestViewTime from ViewLog
给android加入关屏
何明桂的小窝
02-23 7488
<br />  修改policies/base/phone/com/android/internal/policy/impl/PhoneWindowManager.java按照上一个博客修改关机菜单的方法添加个关屏菜单。其实如果硬件能定义一个专门关机的键会比较好 长短按有区别的对待。挂断短按如果要关屏的话 就要加入电话判断是不是通话?<br />修改frameworks/base/core/java/com/android/internal/app/ShutdownThread.java添加关屏代码 i
sql注入学习小结
心怀梦想,脚踏实地
03-27 584
sql小结 注入点类型判断: 1、字符型,数字型,其他奇奇怪怪的情况。 2、and 1=1,and 1=2 tips:有些情况下都会返回页面,无法根据页面来判断时,就需要基于时间的盲注了。忘了例子在哪了。 有回显注入步骤: 1、union select 1,2,3··· %23 确定column数量,注意最好不要使用order by,order by可能内外部数据不统一产生
数据库练习题(学生课程表)
laz383310051的专栏
10-08 3068
创建表 [code="sql"]DROP TABLE IF EXISTS student; CREATE TABLE student( sno int auto_increment primary key, sname varchar(8), ssex varchar(3), sage int , sclass varchar(6) ) ENGINE=InnoDB DEFAULT ...
MySQLsqlplus的基本命令
laz383310051的专栏
07-20 411
[quote] [b][size=large]MySQL的基本命令[/size][/b]  [b] [ ]中的内容为可选项 [/b]   --创建数据库   mysql> create database 数据库名称  ...
解决 64位11g oracle r2 与plsql及客户端乱码问题
laz383310051的专栏
04-14 194
在window server 2008 64上成功安装oracle 11g r2服务端后,需要安装一个plsql,方便一点。 但是安装后不能使用,plsql是没有32位和64位之分的, 所以直接在服务器或本地PC上装一个32位的精简版oralce客户端,重新安装一次plsql就ok了。   OK,通过plsql进入发现查询的中文全是乱码???????????? 照理来说我客户端和服务...
理解SQL注入与PHP防护策略
以下是关于SQL注入及其防护的详细知识: 1、基本概念: - `magic_quotes_gpc` 是一个PHP配置选项,用于自动转义用户输入的数据。当开启时,它会将特殊字符(如 '、" 和 \)转义,以防止SQL注入。然而,这个选项在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值