【持续更新】SQL注入数据库基础知识

最新推荐文章于 2022-12-21 12:12:34 发布
最新推荐文章于 2022-12-21 12:12:34 发布
阅读量765 收藏
点赞数
文章标签: 数据库 sql 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23667585/article/details/127162462
版权

一、数据库全局变量

  1. @@datadir:数据所在目录
  2. @@hostname:主机名
  3. @@VERSION:服务器版本
  4. version_compile_os:你的操作系统类型

二、常用函数

CONCAT_WS(分隔符,字段名1,字段名2…字段名n):

  1. 使用分隔符将多个字符串连接成一个字符串,第一个参数指定分隔符,分隔符不能为null,如果为null,则返回结果为null
  2. 可以在分隔符之后添加任意字符串,该字符串也会被指定的分隔符和其他字段拼接到一起

substring_index(字符串,分隔符,计数):

  1. 按分隔符截取字符串
  2. 如果第2个参数是正数,就从左向右截取,如果第2个参数是负数,就从右向左截取。从1开始数,截取到的内容等于第三个参数分割符分割后的所有的内容(分隔符不会被当作截取后的内容)
e.g. 从左开始
	str = www.wiki.com
	ubstring_index(str,., 1) 结果为:www
	substring_index(str,., 2) 结果为:www.wiki
e.g. 截取中间(先截取左边2个,再截取右边1个)
	substring_index(substring_index(str,., 2),., -1)

left(字符串, 长度):

  • 左截取指定长度的字符串,从1开始数,数到长度即可。

right(字符串, 长度):

  • 右截取指定长度的字符串,从1开始数,数到长度即可。

char(ASCII十进制数):

  • 十进制ASCII码转换为字符

user():

  • 返回当前连接数据库的用户名和主机名(host)

system_user():

  • 同user()

version():

  • 返回当前数据库的版本

benchmark(次数, “表达式”):

  • 将表达式重复运行指定次数,多用于判断SQL语句的执行速度,从而进行优化,但是,可以通过该函数来判断是否存在基于时间的SQL注入,或者根据返回页面的时间来判断服务器有木有执行我们的SQL注入语句。

database():

  • 返回当前使用的数据库的名字

schema():

  • 同database()

count(列名):

1. 返回指定列的值的个数(NULL不计算个数)
2. count(*)可以返回表中所有的记录个数
娄不夜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQL注入基础知识.
qq_44640313的博客
12-03 297
sql注入基础知识
sql注入知识点总结
JunDao73的博客
02-16 3112
个人的学习记录,主要推荐学习环境,和总体的针对sql注入漏洞想要得到数据库内容的思路还有注入中利用到的函数介绍。
SQL注入基础原理(详细版)
GB1183710114的博客
12-21 223
SQL注入基本原理、常见注入类型、注入方法、注入条件、实战
SQL 运行环境函数SUSER_SNAME() HOST_NAME() APP_NAME()
weixin_41999297的博客
04-16 782
select SUSER_SNAME() -- 连接的时候使用的哪个SQL登陆用户 select HOST_NAME() -- 客户端的机器名 select APP_NAME() -- 是从查询分析器,还是应用程序来执行的 ...
通过sql语句获得IP和主机名
小二
04-13 2887
SQL> desc UTL_INADDR FUNCTION GET_HOST_ADDRESS RETURNS VARCHAR2  Argument Name                  Type                    In/Out Default?  ------------------------------ ----------------------- ---
sql注入基础知识.rar
最新发布
04-17
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器...
ingres数据库SQL注入手册1
08-08
这个SQL注入手册系列旨在标准化不同数据库系统的知识,便于对比和学习。虽然Ingres可能不如其他数据库流行,但了解其特性和漏洞对于网络安全专业人员至关重要。随着作者对Ingres的进一步研究,这个手册将会持续更新...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
SQL注入基础和进阶.pdf
12-26
"SQL注入基础和进阶" SQL注入是指Web应用程序对用户输入的数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,那么攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。开发...
SQL手工注入常规用法
OKAY_TC的博客
03-07 461
Mysql5.0版本后 information_schema union select 1,database() //查看数据库 union select 1,group_concat(table_name) from information_schema.tables where table_schema='xx' //查看xx数据库中表名 union select ...
安装mysql是hostname填什么_Linux中用yum安装MySQL方法
weixin_33609654的博客
01-21 2497
因为mysql数据库在Linux上实在是太流行了,所以目前下载的主流Linux系统版本基本上都集成了mysql数据库在里面,我们可以通过如下命令来查看我们的操作系统上是否已经安装了mysql数据库[root@xiaoluo ~]# rpm -qa | grep mysql  // 这个命令就会查看该操作系统上是否已经安装了mysql数据库有的话,我们就通过 rpm -e 命令 或者 rpm -e ...
如何在SqlServer中获取前端连接的IP地址,计算机名等信息
我想我是海 冬天的大海 心情随风轻摆
08-09 1万+
点击打开链接 在一些需求中,可能我们需要知道连接到SqlServer的前端程序的一些系统信息,比如前端连接的计算机名称,IP地址,什么时候开始请求连接,什么时候结束连接等信息。 如果你对SqlServer的系统函数或视图不太了解,这个功能看起来好像比较复杂,而实际上, SqlServer的动态管理视图已经给我们提供了这些信息,下面我们来看两个动态管理视图。 1、Sys.d
mysql连接hostname_使用hostname方式连接数据库
weixin_42131861的博客
01-27 3464
hostname方式是通过client端hostname连接数据库,无需配置tns![@more@]1. HOSTNAME修改listener.ora中的如下信息(SID_DESC =(GLOBAL_DBNAME = your_hostname) --你的机器名(ORACLE_HOME = E:oracleora92) --oracle home(SID_NAME = orcl) --sid na...
hostname命令
东城绝神
06-14 1916
hostname命令
sql 指定服务器名称,SQL语句实现查询SQLServer服务器名称和IP地址
weixin_36380063的博客
07-31 1440
获取服务器名称:SELECT SERVERPROPERTY('MachineName')select @@SERVERNAMEselect HOST_NAME()获取IP地址可以使用xp_cmdshell执行ipconfig命令:--开启xp_cmdshellexec sp_configure'show advanced options', 1reconfigure with overrideex...
彻底理解hostname---四种方法修改hostname值
热门推荐
fang.lovest.yang的博客
12-12 9万+
     当我觉得对Linux系统下修改hostname已经非常熟悉的时候,今天碰到了几个个问题,这几个问题给我好好上了一课,很多知识点,当你觉得你已经掌握的时候,其实你了解的还只是皮毛。技术活,切勿浅尝则止! -------------------------------------------------四种方法更改hostname------------------------------...
CTFSQL注入基础知识
04-03
下面是CTF中SQL注入基础知识: 1. 什么是SQL注入SQL注入是指攻击者通过在应用程序的输入中插入恶意的SQL代码,从而绕过应用程序的验证和过滤机制,进而执行非法的数据库操作。攻击者可以通过SQL注入获取敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

娄不夜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值