Beego框架简易SQL注入实验

最新推荐文章于 2024-05-11 09:33:57 发布
最新推荐文章于 2024-05-11 09:33:57 发布
阅读量637 收藏
点赞数
分类专栏: go 文章标签: sql golang 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44610809/article/details/123137242
版权

思路:从URL获取参数,使用原生SQL语句访问数据库

参数是SQL delete语句(理想执行的语句SELECT * FROM users WHERE id = (DELETE FROM mytable WHERE 1=1);)
controllers

func (m *MyTestController) GetSQLInjectionTest() {
	p := m.Ctx.Input.Params() //Params是解析多个参数,返回map
	for k, v := range p {
		m.Ctx.WriteString(k + "=" + v + "\n")
		models.SQLInjectionTest(v)
	}
	
}

models

//SQL Injection Test
func SQLInjectionTest(Tableid string) {
	o := orm.NewOrm()

	var maps []orm.Params
	num, err := o.Raw("SELECT * FROM users WHERE id = ?", Tableid).Values(&maps)
	if err == nil {
		for _, term := range maps {
			fmt.Println(term["id"], ":", term["name"])
		}
	} else {
		fmt.Println("MysqlOriginallySelect error")
	}

	fmt.Println("num =", num)
	fmt.Println("err =", err)
}

在这里插入图片描述
然后发现行不通,同事跟我说有两个原因,一个是框架把这语句过滤掉了,还有一个我现在用的是MYSQL8.0,版本比较新,自己试SQL语句的时候都报错,子查询是没问题的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

一只小阿大:)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
9.4 避免SQL注入
Kaitiren的专栏
02-22 114
什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。 SQL注入实例 很多Web
go语言在beego框架中使用orm,进行数据库操作。
01-31
本例子是在beego中使用orm,包含基本增删改查用法,和结构。
GO语言Beego框架之WEB安全小系统(3)SQL注入与加解密
陈小星的博客
09-10 9708
GO语言学习——用beego框架搭建WEB安全小系统(3)SQL注入与加解密
2024年最新Beego框架实战教程:项目搭建及注册用户_搭建beego工程化目录,看完你还觉得算法不重要
2401_84254530的博客
05-11 983
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
beegoSQL注入
shengzhu1的博客
03-31 8814
SQL注入攻击SQL注入攻击是Web安全史上的一个重要里程碑,它从1999年首次进入人们的视线,至今已经有十几年的历史了,虽然我们现在已经有了很全面的防范对策,但是它的威力仍然不容小觑,SQL注入攻击至今仍然是Web安全领域中的一个重要组成部分。SQL注入实例考虑以下简单的登录表单: <form action="/login" method="POST"> <p>Username: <
GO语言Beego框架之WEB安全小系统(4)命令注入与XML注入
陈小星的博客
09-11 2578
GO语言学习——用beego框架搭建WEB安全小系统(4)命令注入与XML注入
SQL注入相关实验报告.doc
01-05
实验报告主要涉及两种SQL注入技术:REGXP正则匹配和基于时间的判断。 **一、REGXP正则匹配** 在实验中,攻击者利用正则表达式的特性来逐步揭示数据库信息。例如,通过`Limit 0,1`来获取单个字符,并结合正则递增...
软件安全实验2 SQL注入实验
最新发布
06-19
分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)...
详解Mybatis框架SQL防注入指南
08-18
Mybatis框架是一个流行的Java持久层框架,它允许开发者直接编写SQL语句,提供灵活的数据访问。然而,这种灵活性也带来了安全风险,特别是SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过输入恶意...
SQL注入大作业报告,自建简易sql注入漏洞平台
01-03
这个大作业报告的主题是“自建简易SQL注入漏洞平台”,显然,它旨在帮助学习者理解和实践如何预防和检测这类攻击。 首先,我们需要理解SQL注入的基本原理。当用户输入的数据未经适当过滤或转义就被直接用于构建SQL...
"BeeGo框架实现的一个WEB应用实例"数据库MYSQL脚本
08-04
不好意思,"BeeGo框架实现的一个WEB应用实例"没有附带数据库,特此补正! 本应用是用BeeGo框架进行的一个WEB应用快速开发,是一个在生产环境实际运行的商业软件。 适用数据库MySQL,详细配置请参阅conf\global\app.ini。本应用打包部署工具为Bee。 前端采用了amazeui制作工作台页面,标准的左边菜单栏右边工作页面---一个适合各种此类应用的快速开发模板。其他还有ztree树形组件、echarts百度报表插件、paging分页组件。。 实现了几个单表的CRUD操作的几个模块,其中"子系统管理"模块探索了多表关联的复杂操作。并且为了实现模糊查询,试写了一个构造原生SQL进行分页查询的前后台组件,是进阶软件开发者不可多得的学习素材。 做为彩蛋,本作还用百度echarts报表插件实现了饼状图和柱状图两个报表。 欢迎各位Go语言爱好者加群学习讨论,BeeGo学习交流群 552015496。作者倾情奉献哦 (^_^)
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
常规漏洞利用-sql注入实验指导书.pdf
08-03
常规漏洞利用-sql注入实验指导书#资源分享达人#
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
beego mysql 生成,beego orm根据模型自动生成mysql数据表
weixin_31602525的博客
03-18 593
前言:有时候我们不行通过手动的方式写sql语句来建表,而是通过程序的方式自动建表,例如php的laravel框架的迁移文件就是一个典型的实线,那么GO语言的beego orm框架是否有类似的解决方案呢?本文章主要来研究一下这个问题。在阅读本编文章之前,我们假设本地已经装有MySQL数据库或者已经有可远程连接的MySQL实践步骤1、新建一个工程,工程名为:dblearn (可自定义) 2、生成工程的...
Beego:原生方式使用MySQL
weixin_34261739的博客
06-11 537
示例: package controllers import ( "database/sql" "fmt" "github.com/astaxie/beego" _ "github.com/go-sql-driver/mysql" ) type MysqlController struct { beego.Controlle...
一种很厉害的SQL注入攻击
云上的日子
08-30 1811
explain select * from user where mail= 'IF(SUBSTR(@@version,1,1) 以上SQL适应性,攻击性都非常强, 简单有效!
SQL注入实战:sqli-labs实验详解
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一只小阿大:)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值