本文介绍了SQL注入的基本原理,包括平台层和代码层的注入方式,以及不当的类型处理、不安全的数据库配置等导致的原因。同时,详细讲解了MySQL注入的相关知识点,如大小写不敏感、注释语句、SELECT查询、UNION操作、函数应用等,为理解SQL注入提供了基础知识。
SQL注入原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,
通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;
后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。 基于此,SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理; ②不安全的数据库配置; ③不合理的查询集处理; ④不当的错误处理; ⑤转义字符处理不合适; ⑥多个提交处理不当。
Mysql注入有关知识点
1.首先sql语句对大小写不敏感,会导致后台程序对大小写的检测失效
2.注释语句 – 单行注释 /**/ 多行注释
3.select 查询语句
4.union操作符
5.concat() 合并
6.concat_ws()间隔符合并 _,’’,’’
7.group_concat() 分组合并
8.order by 排序
9.group by 分组
10.if() 判断 判断条件,值1,值2
11.sleep() 休眠
12.left() 返回最左边的n字符str,
13.count() 总数
14.floor() 返回最大整数
15.round() 四舍五入
16.rand() 返回0-1 的随机数
17.extract() 于返回日期/时间的单独部分
18. + 连接符
19.常见函数 database(),version(),user(),@@datadir,
20.常用
最低0.47元/天 解锁文章
扫一扫
746
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
