2021-03-27 sql注入记录

最新推荐文章于 2023-09-01 17:40:50 发布
最新推荐文章于 2023-09-01 17:40:50 发布
阅读量61 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/passive_person/article/details/115261573
版权

搜索引擎高级语法

intitle
intext
inurl
site

漏洞评级

严重 低危 中危 高危

SQL注入

测试中的实际作用:

绕过登录验证:万能密码
获取敏感数据:用户信息、后台管理员信息``
文件系统操作:列目录,读取、写入文件等
注册表操作:读取、写入、删除注册表等
执行系统命令:远程执行命令

<?php
$conn= mysql_connect('localhost','root','root') or die('bad!');
//$conn定义一个名字为conn的变量
//使用账号root 密码root 去连接localhost这个MySQL服务器
//die('bad!') 终止提示错误

mysql_select_db('sqltest',$conn) OR emMsg("数据库连接失败");
//连接数据库后 选择了sqltest数据库
//emMsg提示错误信息

$id =isset($_GET['id'] ? $_GET[$id] : 3;
//id是否获得数据,否则附一个值3
//0.PHP?id= 可控制值

$sql ="SELECT * From news WHERE id={$id}";


$result = mysql_query($sql,$conn) or die(mysql_error());
?>

<body>
<?php
//$test = array("tittle"=>"vulkey","content"=>"mstsec");
$row = mysql_fetch_array($resultMYSQL_ASSOC);

echo "SQLi语句:SELECT * FROM news WHERE id=<font color='red'>{$id}</font>";
echo "<hr>";
echo "<center><table border='2'><tr><td>标题</td></tr><tr><td>内容</td></tr><tr><td>{$row['content']}</td></tr></table></center>";
mysql_free_result($result);
//释放内存空间
?>
</body>
passive_person
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF---Web---SQL注入---03---联合注入+关键字过滤
qq_22160557的博客
07-29 909
文章目录前言一、题目描述二、解题步骤1、回显判断注入方式2、尝试列数3、寻找注入点4、尝试注入(库,表,列,字段)三、总结 前言 题目分类: CTF—Web—SQL注入03—联合注入+关键字过滤 一、题目描述 题目:SQL注入 链接:http://192.168.87.175 二、解题步骤 1、回显判断注入方式 Step1: http://192.168.87.175/viewld.do?ldid=2,回显正常。有内容 Step2: http://192.168.87.175/viewld.do?ld
[记录]使用Springboot+Mybatis-plus 分页查询存在sql注入问题
YisiWzXgd的博客
12-01 767
写Springboot的日常bug
CVE-2021-27928:CVE-2021-27928 MariaDBMySQL-'wsrep provider' 命令注入漏洞
04-16
信息 Exploit Title: MariaDB 10.2 /MySQL - 'wsrep_provider' OS Command Execution Date: 03/18/2021 Exploit Author: Central InfoSec Version: MariaDB 10.2 before 10.2.37 10.3 before 10.3.28 10.4 before 10.4.18 10.5 before 10.5.9 Percona Server through 2021-03-03; and the wsrep patch through 2021-03-03 for MySQL Tested on: Linux CVE : CVE-2021-27928 如何利用 步骤1:建立反向Shell有效负载 msfvenom -p linux/x64/shel
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 859
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先...
CVE-2021-35042 Django SQL注入漏洞复现
weixin_42345596的博客
08-03 2206
CVE-2021-35042 Django SQL注入漏洞复现 漏洞描述 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。 组件介绍 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(
sql注入详解
热门推荐
越努力 越自由
05-05 20万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
Pikachu-----Sql Inject(SQL注入
m0_65712192的博客
12-29 2705
Pikachu-----Sql Inject(SQL注入
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
weixin_42786460的博客
09-01 1390
Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现
SQL-zhu-ru--dai-ma.rar_sql注入
09-14
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地构建SQL查询时,允许攻击者通过输入恶意数据来操纵数据库。在“SQL-zhu-ru--dai-ma.rar_sql注入”这个压缩包中,我们很可能会找到一系列关于如何识别、...
86-web漏洞挖掘之SQL注入1
08-03
**SQL注入漏洞详解** SQL注入攻击是网络安全领域中一种常见的攻击手段,主要针对Web应用程序,通过构造恶意的SQL语句,使攻击者能够获取、修改、删除数据库中的敏感信息,甚至控制整个数据库服务器。在本篇文章中,...
CTF---Web---SQL注入---11---注入列的选择与id的值
qq_22160557的博客
08-01 819
文章目录前言一、题目描述二、解题步骤1、尝试列数2、爆表的两种方式3、爆列、字段三、总结 前言 题目分类: CTF—Web—SQL注入—11—注入列的选择与id的值 一、题目描述 题目:SQL注入 二、解题步骤 1、尝试列数 Step1:尝试列数,1 union select 1,2,3,4# 列数为4列 1 union select 1,2,database(),4# 数据库名为:inject_05 2、爆表的两种方式 Step2:爆表 -1 union select 1,(select grou
8051Proteus仿真c源码用LCD循环右移显示WelcometoChina
09-06
8051Proteus仿真c源码用LCD循环右移显示Welcome to China提取方式是百度网盘分享地址
8051Proteus仿真c源码万能逻辑电路实验
09-06
8051Proteus仿真c源码万能逻辑电路实验提取方式是百度网盘分享地址
8051Proteus仿真c源码基于ADC0832的数字电压表
09-06
8051Proteus仿真c源码基于ADC0832的数字电压表提取方式是百度网盘分享地址
水空两用无人机动力系统设计与研究.pdf
09-06
水空两用无人机动力系统设计与研究.pdf
8888888yyyyyyy
最新发布
09-06
999999999yyyyyyy
8051Proteus仿真c源码温度控制的实例
09-06
8051Proteus仿真c源码温度控制的实例提取方式是百度网盘分享地址
基于java项目开发人脸识别代码.zip
09-06
基于java项目开发人脸识别代码.zip
基于Mnist数据集生成用于(多)目标检测的小型数据集.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
泛微e-cologyOA系统WorkflowCenterTreeData SQL注入分析
"CNVD-2019-34241是一个关于泛微e-cologyOA系统中WorkflowCenterTreeData存在的SQL注入漏洞。该漏洞可能允许攻击者通过构造恶意请求来执行任意的SQL命令,对数据库进行非法操作,可能导致数据泄露、系统权限提升或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值