SQL注入

于 2021-01-15 10:09:51 发布
阅读量139 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46429177/article/details/112647516
版权

SQL注入简介

SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。本文以免费开源数据库MySQL为例,看懂本文需要了解基本SQL语句。

SQL注入条件

1.参数是用户可控的
2.参数被带入数据库中进行查询

SQL注入的危害

1.数据库信息泄露
2.获取webshell
3.网页篡改
4.网站挂马
5.获取系统权限
6.万能密码
7.文件读取

SQL注入判断

当传入的参数为 1’ 时,数据库会执行以下代码,并会报错,因为这是不符合数据库语法规范的:
select * from users where id=1’
当传入的参数为and 1=1 时,不会报错,因为1=1为真,所以返回的页面是正常的;当传入的参数为and 1=2时,因为条件为假,所以会返回一个不同的结果:
select * from users where id=1 and 1=1 #条件为真,页面正常无变化
select * from users where id=1 and 1=2 #条件为假,页面异常或变化

SQL注入类型

按数据库类型:
Access、MsSQL、MySQL、Oracle、DB2等
按提交方式:
GET、POST、cookie、HTTP头、XFF
按注入点类型:
数字型、字符型、搜索型
按执行效果:
布尔盲注、时间盲注、报错注入、联合注入、堆叠查询注入

qq_46429177
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入
qq_30365511的博客
07-06 648
直接放图 有回显的地方可以插入sql语句,pyload看url order by 找出3个字段 union select 1,2,3 2,3就是显示位,可以放sql语句,–+为了注释后面语句 例如这个 报错注入三种都试一下paylod里面放sql语句 第七题传个马,然后。。。。。然后我没菜刀 第八题盲注 就是瞎猜(开个玩笑)通过页面是否正确返回来判断 例如 第九题,显示一样,加一个sleep函数区分是否执行和第八题一样 第十题,双引号盲注,剩下的和第九题一样 ...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入攻击以及防护
飞梦鸿图霸业的博客
10-17 3296
在学习、面试过程中,多次接触过SQL注入攻击,今天我们就来好好总结一下吧。 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL注入攻击是指提交一段数据库代码,根据程序返回的结果获得某些他想得知的数据中,或者是删除数据库中重要数据以此来达到破坏数据库的目的。相关的SQL注入可以通过测试工具pangolin进行。 对于如何进行注入,我们可以举一个简单的例子,比如查询某一个东西,存在sele
利用SQL注入漏洞登录后台
weixin_33787529的博客
04-17 4414
2019独角兽企业重金招聘Python工程师标准>>> ...
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
SQL网站注入攻击——明小子工具利用案例
06-20
安全测试工具使用案例,SQL网站注入攻击——明小子工具利用案例
一个服务器能运行2个sql吗_听说你是程序员,可以帮我盗个QQ号吗?
weixin_39804620的博客
11-28 319
听说你是程序员,可以帮我盗个 QQ 号吗?这个段子估计很多朋友都看过,程序员被黑过无数次。图片来自 Pexels在其他人眼中,仿佛我们需要写得了木马,翻得了围墙,修得了电脑,找得到资源,但凡是跟计算机沾点边的,咱都得会才行。段子归段子,言归正传,对于咱们程序员来说,多多少少了解一些信息安全的技术知识还是大有裨益的,不仅能了解一些计算机和网络的底层原理,也能反哺我们的开发工作,带着安全思维编程,减少...
sql注入漏洞
QQ1012421396的博客
03-18 746
PreparedStatement可以有效防止sql注入,PreparedStatement会预编译sql语句,然后再注入参数,这样防止sql拼凑注入。而Statment不能防止sql注入,它是直接发送执行,因此可以借机拼凑sql语句。 使用Statement发送sql Login.java package com.cn.statement;import java.io.Buff
SQL注入与预防
qq_34644183的博客
02-28 4022
定义:把SQL命令插入到Web表单提交或者输入域名或者构造页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令来盗取信息或者攻击数据库服务器。检查SQL注入漏洞检查所有的输入;包括域名输入(GET)表单提交(POST)以及PUT请求,如果在这些地方注入SQL命令能够成功进入系统或者抛出SQL异常则可能存在SQL注入漏洞。页面请求域数字注入如原域名为:localhost:8080/Test/...
sql注入,一个例子让你知道什么是sql注入
热门推荐
qq_41246635的博客
08-03 1万+
sql注入,一个例子让你知道什么是sql注入 这篇文章说的非常好 https://www.cnblogs.com/sdya/p/4568548.html 我就是按照文中例子,亲自在我之前用final框架做的项目中,操作了一遍,的确是实现了用户登录。 在不知道用户名和密码的情况下实现了用户登录 重现sql注入过程如下: 1、在用户名输入' or 1=1 --,然后随便输入一个密码 ...
给大家发一个SQL注入实战教程吧
Y7967
12-24 3924
(大家可以用GOOGLE搜索,www.jinshouzhi.org有得下)这篇文章是去年10月份发的,我今年3月份才发现,这么长时间以来我的网站www.shbbs.net一直被当作教程攻击,呵呵,晕死。直到有一个好心网友提醒我我才做了一些处理。大家不要再按教程上直接使用攻击我的网站www.shbbs.net了,呵呵我已经打了预防针了:)找别人的去演习吧:)以下是文章部分,还有动画教程,
php安全编程—sql注入攻击
weixin_34138139的博客
12-30 95
原文:php安全编程—sql注入攻击php安全编程——sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平...
SQL注入-有回显的注入
渗透笔记
01-12 6492
1.MySQL相关 在MySQL 5+版本后,加入了information_schema这个库,该库存放了所有数据库的信息 information_schema.columns包含所有表的字段 字段 table_schema 数据库名 table_name 表名 column_name
sql注入sql注入
最新发布
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了防止SQL注入攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这样可以将用户输入的数据作为参数传递给SQL查询,而不是将其直接拼接到查询语句中。这样可以防止恶意代码的注入。 2. 输入验证和过滤:对用户输入进行验证和过滤,确保只接受符合预期格式的数据。例如,可以使用正则表达式验证输入是否符合特定的模式。 3. 最小权限原则:确保数据库用户只具有执行必要操作的最低权限。这样即使发生SQL注入攻击,攻击者也无法执行敏感操作。 4. 错误处理:不要向用户显示详细的错误信息,以防止攻击者获取有关数据库结构和配置的敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值