SQL注入原理
1、程序员在处理程序的过程和数据交互时,使用字符串拼接的方式构造SQL语句。
2、未对用户可控参数进行足够的过滤,便将参数的内容拼接到SQL语句中。
SQL注入的危害
1、攻击者利用SQL注入漏洞,可以获取数据库中的多种信息(例如:管理员的后台密码),从而脱去数据库中的内容,简称脱库。
2、在特别的情况下还可以修改数据库内容、插人内容到数据库或者删除数据库中的内容。
3、如果数据库权限分配存在问题,或者数据库本身存在缺陷,攻击者可以利用SQL注入漏洞读写文件,读取敏感文件或者上传恶意文件,可以GetShell。
4、利用数据库提升权限。
SQL注入实现过程(联合查询)
1、准备实验环境(前端网页和数据库),使我们能够访问到实验网页。
2、判断网页是否存在SQL注入漏洞,在这里使用最经典的单引号判断法,在id=x后面加上单引号看是否报错.
出现报错信息证明SQL注入漏洞存在,并且可以判断出输入的数据属于数字型.
3.下面我们利用联合查询的方法来获取数据库中的信息.
首先分享联合查询(union selsct)的相关知识
+++