sql注入,一个例子让你知道什么是sql注入

最新推荐文章于 2024-06-05 14:13:37 发布
最新推荐文章于 2024-06-05 14:13:37 发布
阅读量1.5w 收藏 33
点赞数 7
文章标签: SQL注入

sql注入,一个例子让你知道什么是sql注入

这篇文章说的非常好

https://www.cnblogs.com/sdya/p/4568548.html

我就是按照文中例子,亲自在我之前用final框架做的项目中,操作了一遍,的确是实现了用户登录。

在不知道用户名和密码的情况下实现了用户登录

重现sql注入过程如下:

1、在用户名输入' or 1=1 --,然后随便输入一个密码

2、点击登录,我竟然登录进去系统了。

为什么呢?

debug一下源代码,就不难知道原因。

点击登录,得到的sql语句是:

select * from AUTH_USER t where t.LOG_IN_NAME='' or 1=1 --' and  t.PASSWORD='gdd'

放入oracle去执行:

返回了所有的用户信息,这样authUser就肯定不是null了,表示数据库有相关用户,当然就算是登录成功了。

果不其然成功进入了系统界面,这样用户就算是登录了,虽然是一个随机的一个用户,但是该用户的操作他都可以干,甚至如果知道框架的action地址,那么在浏览器中输入功能的action的地址,他想干什么就干什么了。

cuikai_ii
关注
  • 7
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
案例说明什么是SQL注入
programer-MCB
11-03 363
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、SQL注入是什么?二、使用步骤1.引入库2.读入数据总结 前言 本文会有具体的例子解释什么是SQL注入 一、SQL注入是什么? 百度百科是这么说的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 嗯,好像看懂
Web渗透漏洞靶场收集
javagty6778的博客
03-10 136
如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护。AWVS的测试站点,用于扫描效果验证,提供了多场景的公网靶场,也常作为漏洞利用演示的目标。基于Java编写的漏洞靶场,提供了一个真实的安全教学环境,用于进行WEB漏洞测试和练习。一款非常好用的漏洞演示平台,集成了各种常见漏洞和最新漏洞的开源Web应用程序。一键搭建漏洞测试靶场。
Vuln靶机系列:01Ai-Web1-渗透测试综合利用-对新手非常友好!!!
weixin_45965246的博客
09-17 354
首次使用sqlmap对web系统注入shell文件(之前一直以为只是获取账密)对目录扫描更深一步的理解,之前很少会有目录扫描,压根不想扫最关键一步就是–os-shell不能使用报错注入方式注入首次完整提权过程,之前没有接触过提权,也仅仅是了解没有实战对新手非常友好,是一个值得巩固知识体系的靶场。/etc/passwd的用户添加格式可能需要记录一下用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell。
sql注入详解
Cairo_A的博客
06-05 894
SQL注入是由于程序没有对用户输入数据的合法性进行验证和过滤,导致SQL查询语句被恶意拼接从 而产生SQL注入
利用SQL注入漏洞登录后台的实现方法
12-15
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。   如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的。   前些天,网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。   在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。 现在,很多网站开发人员知其然而不知其所以然,小弟也是,所以赶紧恶补下,总结如学习内容。希望对初学者
探秘Java EE VulnWeb:实战安全漏洞的学习神器
gitblog_00039的博客
04-24 403
探秘Java EE VulnWeb:实战安全漏洞的学习神器 项目地址:https://gitcode.com/mtxiaowangzi/Java-EE-VulnWeb 项目简介 Java EE VulnWeb 是一个基于Java EE开发的在线实验平台,旨在帮助开发者、安全研究人员和学生更好地理解和学习常见的Web应用安全漏洞。通过模拟真实的漏洞环境,它提供了丰富的练习场景,让学习者能够亲手实践并...
sql注入-mysql注入
qq_38849692的博客
08-03 193
sql常用的注入语句 查询数据库----假设为 security select database(); 查询数据库中的表 select group_concat(table_name) from information_schema.tables where table_schema=database(); 查询表中的字段名(security.users表中的列) select group_concat(column_name) from information_schema.columns wh
一个简单的SQL注入攻击的例子
最新发布
06-06
防范SQL注入攻击 使用参数化查询:这是防止SQL注入的最有效方法。参数化查询确保了输入数据不会被解释为SQL代码的一部分。 例如,在Python中使用sqlite3库的参数化查询: PYTHON 复制 1 2 3 4 5 6 7 import sqlite...
分享一个简单的sql注入
12-16
例如,一个简单的用户登录验证可能如下: ```sql SELECT * FROM users WHERE username = 'user_input' AND password = 'password_input' ``` 如果用户输入`username = 'admin' OR 1=1 --'`,则查询变为: ```sql ...
Hibernate使用中防止SQL注入的几种方案
01-20
SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁系统安全。以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过...
SQL注入的一个ASP网站源码
12-06
SQL注入是网络安全领域中的一个常见漏洞,攻击者可以通过它来操纵或破坏数据库。 SQL注入发生的原因是由于应用程序在构造SQL查询语句时,没有正确地过滤或转义用户输入的数据。当用户输入恶意的SQL代码片段,这些...
ASP.NET防范SQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
SQL注入案例演示与防范措施大全
热门推荐
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
一文带你学习SQL注入
大河之犬的博客
12-21 5698
但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。下面是一个在Java中调用存储过程的例子,其中。
SQL 注入攻击介绍与测试案例
你若盛开,蜜蜂自来
01-25 8531
博主声明: 转载请在开头附加本文链接及作者信息,并标记为转载。本文由博主威威喵原创,请多支持与指教。 本文首发于此 博主:威威喵|博客主页:https://blog.csdn.net/smile_running SQL注入攻击 SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 ...
SQL手工注入网站笔记
swaggy_tt的博客
12-03 683
SQL手工注入网站笔记 目标网站:http://testphp.vulnweb.com/listproducts.php?cat=1 1.判断注入点: http://testphp.vulnweb.com/listproducts.php?cat=1’ http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=1 永真条件,回显正常 http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=2 永假
sql注入实例
weixin_45901902的博客
11-11 4769
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:“早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题”,先暂不评价此说法对错,如此冷淡的反应只能说明了对SQL注入的无知,今天就通过这个实例来告诉大家SQL注入究竟有多大的危害。 初步注入--绕过验证,直接登录 公司网站登陆框如下: 可以看到除了账号密码之外,还有一个公司名的输入框,根据输入框的形式不难推出SQL的写法如下: 1 SELECT*FromTableWHEREName...
还能再举一个sql注入攻击的例子
05-09
当然可以,以下是另一个SQL注入攻击的例子: 假设我们有一个登录页面,用户需要输入用户名和密码才能登录。我们的SQL语句可能是这样的: ``` SELECT * FROM users WHERE username='$username' AND password='$...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值