SQL注入的成因及原理浅析

最新推荐文章于 2024-08-09 13:55:29 发布
最新推荐文章于 2024-08-09 13:55:29 发布
阅读量6.3k 收藏 19
点赞数 2
分类专栏: web安全 文章标签: SQL注入的成因及原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdb5858874/article/details/80550319
版权
一、首先先介绍一下SQL注入的思维导图:
二、SQL注入的成因


三、SQL注入的原理
用户 可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为

某成因可以归结为以下两个原因叠加造成的:
1.程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。
2.未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL查询语句中。

四、哪里可能存在SQL注入?
1.任何客户端可控且传递到服务器的变量都有可能存在SQL注入
2.这些变量通常存在于GET,POST形式传递的参数中,如HTTP请求消息头部和COOKIE中。

五、注入的危害:
获取管理员账号密码
盗取数据库中的数据
修改数据库中的数据
获取Webshell


select 字段,字段 from 数据库,数据表

所有数据库名:
select schema_name from information_schema.schemata;

查找所有表名:
select table_name from information_schema.tables;

查找table表中的所有库名
select table_schema from information_schema.tables;

查找所有列名
select column_name from information_schema.columns;

白帽梦想家
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入原理
weixin_45634365的博客
02-24 2830
一、SQL注入的本质 注入攻击的本质,是把用户输入的数据当做代码执行。 SQL:结构化查询语言,即操作数据库的代码 注入:把用户输入的数据当做代码执行 SQL注入的条件: 第一个是用户能够控制输入。 第二个是原本程序要执行的代码,拼接了用户输入的数据然后进行执行 SQL注入的应用场景: 任何和数据库交互的传参(任何传参点) 想要了解更详细一点,可以看一下这篇博客:SQl注入与正则表达式 二、显错注入 1、判断是否存在注入点 http://59.1.1.1/?id=1 #?代表GET传参,传参值为1 (1)
SQL注入原理与利用
Hunterj_Lin的博客
02-28 557
工具简介 SQLMAP: 一个开放源码的渗透测试工具,它可以自动探测和利用SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎,为最终渗透测试人员提供很多强大的功能,可以拖库,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令。 常见参数使用 –sql-shell 执行SQL命令 –OS-cmd 执行系统命令 –OS-shell 与系统Shell交互 -r 加载外部请求包 –data=DATA 通过POST发送数据字符串 –proxy=PROX
sql注入产生原因
最新发布
hljdengbaoceping的博客
08-09 217
1.代码层面缺乏过滤与验证:开发人员在编写应用程序时,没有对用户输入的数据进行严格的过滤和验证,使得恶意用户可以通过输入特制的SQL代码片段来操控后台数据库查询,从而绕过权限检查,读取、修改或删除敏感数据。2.动态拼接SQL查询语句:当应用程序使用用户输入的数据直接拼接到SQL查询字符串中,而没有使用参数化查询或预编译语句时,就容易被注入恶意SQL代码。5.第三方组件或库的不当使用:使用了存在已知安全漏洞的第三方库或组件,未能及时更新修复,也可能导致SQL注入漏洞的存在。
sql注入原理简介
08-26
一、什么是sql注入? 二、sql注入产生原因 三、sql注入原理 四、sql注入共计的简单示例
SQL注入产生原理
weixin_45871926的博客
01-12 1220
SQL注入就是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术。 1.对用户输入的参数没有进行严格过滤(如过滤单双引号、尖括号等),就被带到数据库执行,造成了SQL注入 2.使用了字符串拼接的方式构造SQL语句 3.$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 将$id替换为下面语句: 1' and 1=1 union select * from manage into outfile "D:/234.txt" --+;
SQL注入(分类、原因、寻找注入)
小赵同学的博客
02-14 1344
目标: SQL注入 SQL注入分类 造成SQL注入原因 寻找SQL注入 一、SQL注入 1、什么是SQL注入漏洞 攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库的入侵。 2、SQL注入原理 SQL注入攻击的本质,服务端没有过滤用户输入的恶意数据,直接把用户输入的数据当作SQL语句执行,从而影响数据库安全和平台安全 3、注入的本质 对于输入检查不充分,导致SQL语句将用户提交的非
SQL注入原因及其解决方法
zhanchulan的博客
08-19 928
SQL 注入产生原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
SQL注入原理讲解,很不错!
热门推荐
stilling2006的专栏
01-21 39万+
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,
浅析SQL注入式攻击与防范.pdf
09-19
3. Web应用程序的漏洞利用:不安全的编程实践是导致SQL注入漏洞的直接原因。例如,不安全的代码编写、输入数据类型校验的缺失、不缜密的SQL语句构造等,都可能导致安全漏洞。具体而言,在.NET代码中,如果输入的数据...
浅析Statement类SQL注入问题
slience_duya的博客
06-07 1782
浅析Statement类SQL注入问题        Statement接口是java.sql包下的一个接口,是官方提供的用来操作数据库的标准接口之一。接口的实现一般在数据库驱动中。因为所有的与数据库之间的交互都是基于连接对象的,所以它也是由连接对象获取返回的。返回的Statement类对象可以理解为是Java执行SQL语句的对...
SQL注入技术.ppt
08-02
本文将深入探讨SQL注入原理原因、检测方法以及防范措施。 SQL注入产生通常是由于以下两个主要原因: 1. **不使用预编译的PreparedStatement对象**:在Java Web开发中,推荐使用PreparedStatement来处理SQL...
Springboot整合redis实现缓存及其缓存运行原理浅析
qq_2309316384的博客
04-03 4172
声明:小白,学习阶段,主要目的是为了记录学习过程,本文仅供参考,如有不足的地方欢迎指出沟通交流 本文基于Springboot2.1.3版本开发: 准备阶段 首先是pom.xml文件所需的依赖: <dependencies> <!--redis依赖--> <dependency> <groupId&g...
SQL注入概述和基本原理-SQL注入原因
kelenwait的博客
09-16 663
Sql 注入是指攻击是通过将恶意的 Sql 语句插入到应用的输入参数中,让后台 Sql 服务器上解析执行进行的攻击,是目前黑客对数据库进行攻击的最常用手段之一通俗来理解就是攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句。数据库执行的时候,把这段额外的SQL语句也执行了,造成攻击。
sql注入产生原因以及如何防止?
living_ren的博客
03-03 1万+
1.sql注入产生原因: 程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行; 2.防止过滤: 1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤; 2).在PHP配置文...
软件测试面试题:SQL注入漏洞产生原因?如何防止?
一亿并发的博客
04-09 1219
SQL注入漏洞产生原因?如何防止? SQL注入产生原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入的方式: 开启配置文件中的magic_quotes_gpc 和 magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略双引号和单引号。 过滤掉sql语句中的一些关键词:update、insert...
sql注入原理详解
牛不牛先生
01-11 8653
sql注入原理详解(一) 我们围绕以下几个方面来看这个问题: 1.什么是sql注入? 2.为什么要sql注入? 3.怎样sql注入? 1.什么是sql注入?   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL...
SQL注入问题 :概念成因和防御
weixin_34227447的博客
03-29 150
一、SQL注入的概念 SQL注入***指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合(我们做的收费系统中用的一些拼接语句),通过执行SQL语句进而执行***者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。二、SQL有两种方式注入: 平台层注入和代码层注入,前者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值