SQL注入新手理解(超容易理解)

于 2022-07-25 22:49:45 发布
阅读量924 收藏
点赞数 1
文章标签: sql 数据库 java 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69473585/article/details/125984969
版权

sql具体怎么回事

他的流程简单理解

1、web页面构造请求url,url访问连接服务器,后服务器加载解析本地的运行文件,然后运行脚本连接数据库并执行对应sql语句。sql语句执行完了会给数据库返回数据,完后由数据库将返回数据(web页面)构造为html文件传递给web界面,web界面运行,呈现web页面给客户端呈现。

2、这个过程中一般来说是比较安全,为啥安全应为是由本地服务器验证通过后交给数据库执行对应语句。但是实际情况他是要和我们实际请求数据要进行结合后执行才行,一般来说这是动态的。所以如果客户段哪里输入一些危险的语句,且前端或者服务器没进行审查。那就会有危险。

 

sql注入   (想传、拿到shell得有权限 知道路径)

1、简单就是在带参的地方写sql语句,被后台解析后执行,进行攻击。

参数就是id=1  就是这个1

sql注入的几种类型

了解个东西哈

数据库类型:他是咋来的,数据库的类型是由数据库中的表来定义的。不通的数据库有不同的表类型,不管怎么分类都是两大类

一个是数字组成,一个是字符组成,所以sql注入的类型也就分为这两类。

1、数字型 对and语法判断,对1=1逻辑判断

:在参数后输入 and 1=1 返回正常 输入and 1=1之后返回报错 说明存在数字型sql

2、字符型 转换为字符串and语法判断,对逻辑判断

:参数后 and '1'='1 返回正常 and '1'='2返回错误

//为什么不能用数字的方法来确认字符

//在字符中得有’来选中字符,区别 查询方法不一样

//数字 id=1 and 1=1 抓包显示id='1 and 1=1'

//字符 id=1' and '1'='1 抓包显示id='1' and '1'='1'

新手个人理解分享一下,有不对大家多多指点哈

m0_69473585
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入的例子 新手
06-23
对学习sql有一定的帮助。虽然有些简单,但对于刚开始学习sql server的人来说,还是有点帮助的。
WEB新手sql注入
weixin_33901843的博客
03-22 106
  继续写题。   这题看上去是一道sql注入题。F12查看后台代码。   可以看到后台有两个变量,分别是uname以及passwd。然后接下来读一下后台的代码,这里的意思是,如果用户输入的密码经过md5加密后,和通过select语句选出来的password相等,则输出“login success”,否则输出“login fail”。利用这里md5()条件语句,我们可以对后台的sql语...
sql注入理解
Koden的博客
08-17 420
sql注入是指通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串中,最终达到欺骗服务器执行的恶意SQL命令 例子: statement : 会引起sql注入安全 因为:statement的sql语句是用拼接:select * from user where username = ’ " + username+ " ’ and userpass = ’ " +passw...
sql注入理解
qq_42764906的博客
03-14 412
攻击背景 在计算机技术高速发展的今天,越来越让人们头疼的是面临越来越“变态”和复杂的威胁网站技术,他们利用Internet 执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。它们潜入之后,还会扩散并不断更新自己。这些活动常常利用用户的好奇心,在用户不知道或未允许的情况下潜入用户的PC,不知不觉中,帐户里的资金就被转移了,公司讯息也被传送出去,危害十分严重。2006年8月16日,第一个We...
理解SQL注入
Summerhoney的专栏
06-08 797
SQL注入是常见的一种网络数据安全攻击手段,顾名思义就是在前端发出请求到后台数据查询这个过程中注入指定类型的参数将SQL语句修改从而达到绕过数据验证或窃取数据的目的。以常见的网站登录过程为例,登录时一般要求输入用户名密码,然后提交到后台处理。在有些网站,设计者会直接将表单提交的内容拼装成SQL查询语句,直接查询数据库是否存在相应用户来返回给前端认证结果。假如如下的用户信息表:字段    说明use...
sql注入新手入门示例详解
09-10
首先,我们需要理解SQL注入的基本概念。当用户输入的数据(如URL参数`id`)被直接拼接到SQL查询中,如`SELECT username, password FROM table WHERE id = input`,如果`input`未经处理,攻击者可以通过构造特定的...
ASP+AXCCESS的SQL注入案例
10-28
通过深入研究这个"包含SQL注入漏洞的asp网站"案例,新手可以更好地理解SQL注入的原理,学习如何防范这类攻击,提升Web应用程序的安全性。同时,了解Access数据库的特性和与ASP的交互方式,对于Web开发者来说也是基础...
SQL注入攻击原理和防范方法.pdf
09-19
SQL注入攻击是网络攻击者利用不安全Web应用程序中存在的漏洞,通过输入恶意的SQL代码来操纵或篡改数据库的一种攻击方式。这种攻击形式主要源于应用程序未能有效地验证和清理用户提供的输入数据,允许攻击者绕过...
sql 注入经典入门教程
05-23
这个经典入门教程是为初学者设计的,旨在帮助他们理解SQL注入的基本原理、识别和利用这种漏洞的方法,以及如何保护系统免受此类攻击。 教程可能首先会介绍SQL注入的基础知识,包括它是如何发生的。当一个Web应用...
sql注入新手_sql注入新手指南
weixin_26747751的博客
09-11 308
sql注入新手SQL injection is a web security vulnerability that allows an attacker to alter the SQL queries made to the database. This can be used to retrieve some sensitive information, like database struc...
本地网站 练习sql注入使用 新手必备
11-13
本地网站 用于练习sql注入使用 新手必备 本地网站 用于练习sql注入使用 新手必备
关于我对SQL注入理解
qq_34396888的博客
10-14 237
关于我对SQL注入理解 首先,为什么会产生SQL注入呢?其实就是将参数带入数据库查询时我们没有对参数进行过滤。 举个简单例子,如下代码,在数据库进行查询时,没有对传入的参数id进行过滤,导致攻击者能够在地址栏使用sql语句。如下图 <?php $con = mysql_connect("localhost","root","root"); if (!$con) { die('Could ...
SQL注入理解
qq_45970607的博客
09-19 607
一、SQL注入概述 SQL是操作数据库数据的“结构化查询语言”,网页的应用数据和后台数据库中的数据进行交互时会采用SQLSQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,再传给数据库服务器来执行数据库命令。 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,然后攻击者就可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,这样就可以在管理员不知情的情况下实现非法操作,实现欺骗数据库服务器执行非授权的任意查询,进一步
sql注入原理2
Daniel的博客
09-08 354
我们先尝试随意输入用户名 123 和密码 123 登录: 从错误页面中我们无法获取到任何信息。 看看后台代码如何做验证的: 实际执行的操作时: select * from users where username='123' and password='123' 当查询到数据表中存在同时满足 username 和 password 字段时,会返回登录成功。 按照第一个实验的思
关于SQL注入理解与基本语法(一)
weixin_44212730的博客
04-07 816
sql注入,简单地说就是欺骗服务器执行恶意的SQL命令;通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 常用术语:攻击,防护。 黑客可以在web应用程序中添加或者修改原本没有的SQL语句,从而执行相关内容,获取相应的数据信息。 ...
SQL注入原理(新手入门)
qq_36258965的博客
07-03 205
SQL注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前是黑客对数据库进行攻击的最常用的手段之一。 2、SQL注入原理 首先要了解web网站的架构: Web 网站架构,总体结构由 Web 服务器端、客户终端和通信协议三大部分组成。 表示层是指用户交互的界面。用户在使用时在表示层输入需求,然后这个信息就传送给服务器,再传输给数据库,服...
SQL注入实战新手教程
weixin_30755393的博客
11-08 173
本文章仅用于网络安全交流学习,严禁用于非法用途,否则后果自负 一.如何批量找SQL注入(工具+资源都打包):http://www.liuwx.cn/post-149.html 1.SQL注入点搜索关键字集合:http://blog.sina.com.cn/s/blog_6910b7580101ci62.html 谷歌SQL关键字:https://www.exehack.net/779...
新手上路 SQL注入的基础知识①
young‘s blog
08-09 409
在历尽千辛万苦之后终于把SQL注入的环境搭起来了,自己也能按照教程整两下了,现在先记录一下字符型搜索。等这个学完了再写一下怎么搭建的简单的平台~ 首先解决的是注入点查询语句实际上有多少个列名 用 order by语句 order by 语句是按照某一列进行排序,升序或降序,最简单的办法就是从1开始尝试,如果尝试到第n个发现提示你列不存在就存在n-1个列 简单方法:二分法。。这个有待验证...
sql注入第一次实战
strwolf的专栏
03-31 1444
0x00. 光看书想睡觉,所以打算还是找个实际的环境来练练手。 0x01. 寻找目标:去wooyun看了666个政府网站的注入点,所以很受启发,随便用一个点google一下,再在结果中随便找了一个 0x02. 确认是否存在SQL注入漏洞:参数本身是id=7,乍一看是数值参数,直接?id=7 and 1=2页面正常返回,猜测参数被单引号包围,尝试用单引号去闭合?id=7' and 1=2--%2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值