基于Asp小议数据库注入的问题

最新推荐文章于 2024-08-15 19:03:08 发布
最新推荐文章于 2024-08-15 19:03:08 发布
阅读量662 收藏
点赞数
分类专栏: Programing 文章标签: asp 数据库 user sql jsp .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mahone/article/details/4222311
版权

时代的更换,Asp渐渐已经力不从心.PHP,JSP,.NET已经俨然成为主流的今天,在一些小的公司,或是很多小的应用上,Asp仍然具有小巧快捷,易于开发的优势!我的朋友里,就有好些,仍然在研习Asp.昨天晚上去办公室玩,看到好几个新手在学习Asp操作数据库,在此我又想到我做Asp的时候.在此把这篇文章献给新手们!

1.首先,我们看一个例子,现在有一张表user;

里面有3个column,分别是uid int not null auto_increment,uname char(30),upass char(50).

里面有一条记录:

>select * from user;

查询1

uid uname upass
1 test 123456

 

假设现有一个会员登录系统,存取用户用的就是上面的user表,我们在Asp写上这样的程序:

Iname=Request.form("username")

Ipass=Request.form("password")

...

sql="select * from user where uname='"&Iname&"' and upass='"&Ipass&"'"

Set rs=conn.execute sql

if rs.recordcount=1 then ...

这样来判断用户是否,正常登录!

a.现在我们测试一下,把用户名带入test,密码带入123456

查询语句变成 sql=select * from user where uname='test' and upass='123456',运行

查询1

uid uname upass
1 test 123456

完全正常!这也是一般的情况,没有问题!

b.下面我们看这样一个情况:

假设我输入 Iname=' or 1 or ', Ipass=' or 1 or ',这里没有用双引号,为了更清楚,直接写的字符串内容!

这样查询语句变为 sql=select * from user where uname='' or 1 or '' and upass='' or 1 or '',运行

查询1

uid uname upass
1 test 123456

很奇怪吧,我并不知道用名与密码,可是我们还是查出了内容!

这就是我们今天要说的问题!当用户并没有按照我们的要求,提供正常的用户名密码来完成验证!而是利用数据库的一些内部处理,以及程序的漏洞,非法获取了信息,这就是注入!

 

Mahone
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小议数据库主键选取策略
12-15
我们在建立数据库的时候,需要为每张表指定一个主键,所谓主键是能够标识表中某一行的属性或属性组,一个表只能有一个主键,但可以有多个候选索引。因为主键可以标识某一行记录,所以可以确保执行数据更新、删除的...
数据库安全小议
12-14
随着信息化社会的发展,数据库安全问题日益凸显,尤其是在频繁的数据泄露事件之后,如何确保数据的安全性和完整性成为了一个紧迫的任务。 【数据库安全挑战】 数据库安全面临的挑战多种多样,主要包括互联网安全、...
一次SA权限***和小议SA提权
caiguazheng4921的博客
04-19 118
尝试在NB里面恢复CMDSHELL、OACREAT都没有成功,所以开启SQLSERVERAGENT ;exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';--还是没有成功,无奈之中希望寄托于沙盒模式,执行如下语句开启沙盒模式 ;execmaster..xp_regwrite 'HKEY_LOCAL_MACH...
《博客园精华集》ASP.NET分册第2论筛选结果文章列表
weixin_30596165的博客
07-18 586
由老赵、大V、李永京和我一起筛选完成,一共440笔: 为什么foreach(HttpCookie cookie in Request.Cookies)会出错 作者:dudu 解读System.Web.UI.Page中关键方法ProcessRequestMain() 作者:dudu 在Asp.net页面中实现数据饼图 作者:TerryLee 在Web页面中控制其元素的选择状态 作者:bi...
SA权限的入侵及小议SA提权
heizistudio的专栏
11-28 1366
本篇讲解一次SA权限的入侵并小议SA提权。 试在NB里面恢复CMDSHELL、OACREAT都没有成功,所以开启SQLSERVERAGENT ;exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';--   还是没有成功,无奈之中希望寄托于沙盒模式,执行如下语句开启沙盒模式 ;execmaster..xp_
小议SA权限入侵之沙盒模式提权
weixin_30624825的博客
03-15 119
尝试在nb里面恢复cmdshell、oacreat都没有成功,所以开启sqlserveragent ;exec master.dbo.xp_servicecontrol 'start','sqlserveragent';-- 还是没有成功,无奈之中希望寄托于沙盒模式,执行如下语句开启沙盒模式 ;execmaster..xp_regwrite 'hkey_local_machine','soft...
小议sqlserver数据库主键选取策略
09-11
数据库主键选取策略】 在设计SQL Server数据库时,选择合适的主键策略至关重要,因为它直接影响数据的完整性和系统的性能。主键是用来唯一标识表中每一行数据的关键字段,且一个表只能有一个主键,但可以有多个...
小议食品安全问题.doc
11-28
小议食品安全问题.doc
webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-15 98
【代码】webjs 数据库 离线读取本地数据库源码-SAAS 本地化及未来之窗行业应用跨平台架构。
[Qt][Qt窗口][下]详细讲解
SnowK博客
08-13 3476
[Qt][Qt窗口][下]详细讲解
mysql介绍
weixin_57763462的博客
08-14 286
丰富的存储引擎:MySQL 提供了多种存储引擎,如 InnoDB、MyISAM、Memory 等,每种存储引擎都有其特定的应用场景和优势。多语言支持:MySQL 支持多种编程语言,包括 C、C++、Python、Java、Perl、PHP 等,并提供了相应的 API。安全性:MySQL 提供了灵活的权限和密码系统,支持基于主机的验证,并且所有的密码传输都采用加密形式,确保了数据的安全性。管理工具:MySQL 提供了丰富的管理工具,如命令行客户端、图形界面管理工具等,方便用户进行数据库的管理和维护。
MySQL索引的性能优化
最新发布
2302_79993788的博客
08-15 511
数据库调优中,我们的目标就是响应时间更快,吞吐量更大。利用宏观的监控工具和微观的日志分析可以帮我们快速找到调优的思路和方式。
Mybatis XML 数据源为 Oracle 之批量插入或更新 Merge Into 的具体介绍与使用
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
08-12 643
由于近期在所开发的项目中,对于数据入库,有存在即更新,不存在则插入的需求,因此发现了 Oracle中的 MergeInto 命令。本文将对MergeInto的用法进行介绍并将 MergeInto 和批量插入进行结合,同时还会对在 MergeInto 开发中遇到的问题进行总结。MergeInto 命令是 Oracle9i 中新增的命令,有了 MergeInto 语句,我们对数据能够不仅仅只做单一的插入或单一的更新,而是可以将更新与插入一起操作。
基于JAVA生产制造执行系统设计与实现(源码+论文+讲解等)
程序员阿龙的博客
08-13 890
当下,如果 还依然使用纸质文档来记录并且管理相关信息,可能会出现很多问题,比如原始文件的丢失,因为采用纸质文档,很容易受潮或者怕火,不容易备份,需要花费大量的人员和资金来管理用纸质文档存储的信息,最重要的是数据出现问题寻找起来很麻烦,并且修改也困难,如果还这样操作会造成很大的资源浪费和经济损失。所以,对于本课题研究的产品生产制造信息的管理就需要有一款软件来代替手工操作,因此MES生产制造执行系统就应运而生。MES生产制造执行系统运用的工具包括Eclipse,Tomcat以及Navicat等。
基于vue框架的NBA球星管理系统1878g(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
08-12 1002
随着互联网的普及和体育产业的蓬勃发展,篮球运动在全球范围内拥有庞大的粉丝群体,NBA(美国职业篮球联赛)作为其中的佼佼者,其球星更是备受关注。传统的球星信息管理方式往往依赖于纸质文档或简单的电子表格,这种方式不仅效率低下,难以实现数据的即时更新与共享,也无法满足球迷和媒体对球星信息深度挖掘的需求。因此,开发一套基于Vue框架的NBA球星管理系统,通过信息化手段整合球星信息,实现数据的快速录入、存储、查询与分析,对于提升管理效率、满足用户需求具有重要意义。,处理前端请求并提供业务逻辑。
《零散知识点 · Vue-admin 模板项目》
山人行
08-12 794
permission.js 里面的:const whiteList = [‘/login’] // 不重定向白名单配在route里面的顶部即可。this获取方式:提示:{{this.$route.params.alert}}提示:{{this.$route.query.alert}}
基于vue框架的爱看电影网站v4o92(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
08-15 721
项目功能:用户,电影分类,电影信息,电影评分基于Vue框架的爱看电影网站项目功能丰富多样,旨在为用户提供一个集电影浏览、信息查询、观影体验、互动交流于一体的综合性平台。
安卓中Room持久化库的使用
故事不长丨的博客
08-13 475
在Android开发中,Room是Google提供的一个持久化库,旨在为应用提供SQLite的抽象层,以简化数据库的访问和操作。相比直接使用SQLite,Room提供更清晰、更简洁的数据库访问机制。
小议RR、REJ的作用
05-13
RR和REJ是数据链路层协议中用于可靠传输的控制字符。 RR表示确认接收方已经成功接收到发送方发送的一段数据,而REJ表示拒绝接收方接收到的一段数据,请求重新发送。这两个控制字符都是用于ARQ(自动重传请求)协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值