04-SQL注入-验证码处理

最新推荐文章于 2024-05-09 00:34:28 发布
最新推荐文章于 2024-05-09 00:34:28 发布
阅读量218 收藏 1
点赞数 6
文章标签: sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianxiadiiw/article/details/136784976
版权

一、验证码生成原理

核心目的是确保是人在使用系统。图片验证码、拖动验证码、拼图验证码、问答验证码

计算验证码等

图片验证码的原理主要是基于以下三个方面:

1.随机生成的字符,确保无规律可言

2.使用图片来进行展示,而非其他手段

3.尽量让文字变形并形成扰乱图像

二、验证码代码实现

添加码源:vcode.php,基于PHP绘制基础图片,生成验证码,然后将验证码保存到session变量中

<?php
    session_start(); 
    // 当客户端已经获取session-ID时,只要通过HTTP请求中的cookie字段将其发给服务器,服务器不会再生成新的session ID.
    session_start();
    getCode();

    // 生成验证图片验证码  vlen验证码的长度  width 高度  height  宽度
    function getCode($vlen=4,$width=80,$height = 25){
        // 定义响应类型为PNG图片
        header("content-type:image/png");

        // 生成随机验证码字符串,并将其保存于session中
        $chars = 'abcdefjhijkmnopqrstuvwxyzABCDEFGHIJKMNOPQRSTUVWXYZ0123456789';
        $vcode = substr(str_shuffle($chars),0,$vlen);
        // str_shuffle($chars)将字符打乱
        $_SESSION['vcode'] = $vcode;

        // 定义图片并设置背景色RGB为:100,200,100
        $image = imagecreate($width,$height);
        $imgColor = imagecolorallocate($image,100,200,100);

        // 以RGB=0,0,0的颜色绘制黑色文字
        // 任何的定位都是在第四象限
        $color = imagecolorallocate($image,0,0,0);
        imagestring($image,5,20,5,$vcode,$color);

        // 生成一批随机位置的干扰点
        for($i=0;$i<50;$i++){
            imagesetpixel($image,rand(0,$width),rand(0,$height),$color);
        }

        // 输出图片验证码,并将其再内存的数据销毁,要不然消耗内存
        imagepng($image);
        imagedestroy($image);
    }

?>

三、在登录页面添加验证码login.html以图片的方式展示出来

 <div class="login">
                <input type="text" name="vcode"/>&nbsp;&nbsp;&nbsp;
                <img src="./vcode.php">
 </div>

四、登录验证码的校验

修改login.php

   if(strtoupper($_SESSION['vcode']) != strtoupper($vcode)){
        die("vcode-error");
    }

验证码一旦生成后,不一定必须保存在session中,任何可以存储数据的方式均可以,比如数据库,文件,内存,或者保存在Redis

缓存服务器中。比如短信验证码,通常会有一个时间限制(5分钟内有效),最好的解决方案就是使用redis缓存,并设置key的过期时间。

xuzhuoyang
关注
软件安全实验2 SQL注入实验
06-19
1、借助Web漏洞教学和演练的开源免费工具DVWA,学习了解Web漏洞的原理及利用。 2、 DVWA(Damn Vulnerable Web Application)是一款用PHP+MySQL编写的,用于Web漏洞教学和演练的开源免费工具。著名的渗透测试平台Kali中也已经集成了该工具。 DVWA目前的版本共有十个漏洞模块,分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。DVWA中将代码分为4种安全级别:Low、Medium、High、Impossible。
如何用SQL注入攻击登陆界面
热门推荐
Rainman的专栏
06-15 2万+
适用范围: 1. 如果一个系统是通过SELECT * FROM accounts WHERE username=admin and password = password这种显式的SQL来进行登陆校验,也就是执行这个SQL语句,如果数据库中存在用户名为admin, password为password的用户,就登陆成功,否则就登陆失败。2. 系统没有对用户输入进行全面
web安全暴力破解-SQL注入简介
最新发布
loveitlovelife的博客
05-09 1079
暴力破解漏洞的产生是由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名、密码、短信验证码等。暴力破解的关键在于字典的大小及字典是否具有针对性,如登陆时,需要输入4位数字的短信验证码,那么暴力破解的范围就是0000~9999.如果对登陆失败做次数限制,如登陆失败6次,账号就会被锁定,这是攻击者可以采用的攻击方式是使用同一个密码对多个账户进行破解。如将密码设置为123456,然后对多个账户进行破解。
20150117--SQL注入+验证码
weixin_30641999的博客
04-21 394
20150117--SQL注入+验证码类 回顾 会话技术:cookie和session cookie:将数据保存到浏览器(HTTP协议设置响应头) 设置cookie:setcookie(名字,值,过期时间,作用域,域名); 读取cookie:$_COOKIE s...
需要输入验证码的登录框使用SQLMAP进行注入攻击
我想做一个好人<svg/onload=Alert`1`>(
11-06 5136
多时候,在测试登录框注入的时候,会遇到有验证码。 这里考虑验证码单次输入不失效的场景。   首先,配置好burpsuite和chrome,输入admin' 密码随意,正确的验证码。   把request请求copy to file.然后不要关闭浏览器与burpsuite。   打开SQLMAP进行注入. SQLMAP -r raw.log --proxy="http://127.0....
SQL注入
bossDDYY的博客
09-20 1500
sql注入
SQL注入-验证码处理
m0_61974571的博客
10-12 981
验证码保存在session变量中,每一次刷新登陆页面,会重新生成验证码,会重新访问一次vcode.php,但是如果不刷新页面,二十直接通过python,burp,fidder等直接发送登陆请求,则此时验证码在session中会保持最后一个,从而只需要在发送登陆请求时将验证码设置为最后一个即可。接下来,后续的每一个请求,将会在cookie字段中添加session ID,目的在主动告诉服务器,我是谁。核心目的是确保是人在使用系统,图片验证码,拖动验证码,拼图验证码,问答验证码,计算验证码
05-SQL注入-验证码防护
tianxiadiiw的博客
03-17 397
这行代码使用准备好的语句对象 $stmt 的 bind_param() 方法,将变量 $username 绑定到查询语句中的参数占位符。接下来,后续的每一个请求,将会在请求头的cookie字段中添加session ID,目的是主动告诉服务器,我是谁。总之,这段代码的目的是准备并执行一个数据库查询语句,并将查询结果的行数存储在客户端的内存中,以便后续使用。这段代码是一个PHP代码片段,用于执行数据库查询并获取结果集的行数。:这行代码将查询结果存储在客户端的内存中,以便后续可以获取结果集的行数。
20150117--SQL注入+验证码类-02
weixin_30572613的博客
04-21 261
20150117--SQL注入+验证码类-02 制作验证码 与图片处理步骤一样,但是字符串随机生成即可。 中文写入 要使用中文,必须满足两个条件:必须要有字体文件,只能使用imagettftext函数 array imagettftext ( resource $...
sql生成随机码--自定义大写、小写、数字、特定字符个数
04-12
sql生成随机码--自定义大写、小写、数字、特定字符个数
Pkav-HTTP-Fuzzer图形验证码识别教程源码包.zip
12-31
7. **安全测试理论**:理解Web应用的安全性,知道什么是XSS、SQL注入等常见漏洞,以及如何通过HTTP请求来探测它们。 8. **自动化脚本编写**:掌握如何编写测试脚本,以自动执行验证码识别和HTTP请求,提高测试效率...
电信设备-使用具有与CAPTCHA验证码的源有关的视觉信息的CAPTCHA验证码的方法和装置.zip
09-19
4. **安全性**:文档可能会讨论如何通过这种方式提高系统的安全性,防止自动化攻击,如SQL注入、垃圾邮件发送等。 5. **用户体验**:同时,一个良好的CAPTCHA验证码设计还需要考虑用户体验,确保用户能够方便快捷地...
打造网站的坚盾——SQL注入防范专题——SQL注入防范之完善网站程序.pdf
09-19
文档中指出,SQL注入的根本原因是程序员在编写代码时,将未经适当检查和处理的用户输入直接拼接到SQL语句中。因此,防范SQL注入的第一要义是检查和确保用户输入数据的安全性,防止含有特殊字符的数据被插入SQL语句。...
JavaWeb用户注册---邮箱验证码实现注册
09-27
同时,对用户输入的数据进行校验和过滤,防止SQL注入等安全问题。 总结起来,实现JavaWeb用户注册中的邮箱验证码功能涉及以下几个主要步骤: 1. 配置SMTP服务器并使用JavaMail API发送邮件。 2. 前端使用AJAX异步...
2019-2-28 dvwa学习(4)--sql注入级别impossible
weixin_42555985的博客
02-28 5033
继续把dvwa环境安全级别调整为impossible 观察界面 看上去似乎和low级别没有大的区别,只是浏览器中get方法提交的参数多了一个。 impossible.php代码如下 &amp;lt;?php if( isset( $_GET[ 'Submit' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_...
渗透测试-SQL注入-登录漏洞-验证码
fjc0214的博客
12-04 671
本文给出了图片验证码的实现同时给出了验证码存在的问题,还是用了机器学习的方法识别图片验证码
一个验证码图片生成(刚写的,拿出来分享)
phphot
10-22 1918
  流程:  1.随机出一个4位的随机数存到sessioon中 2.设置图片长和宽 3.创建图像 4.设置背景5.将随机数写入图片 6.加入干扰素(在图片上随机打印N个 点)7.给图片家边框 8.输出图片//之后就是把用户输入的验证码数字跟 $_SESSION[login_validate] 变量做比较就ok了 [php] session_start(); //设置随机数种子srand((do
登录验证之sql注入问题解决方案
moxiaomo0804的博客
05-08 1943
1.初始版本的sql注入问题 sql注入:是指把用户输入的参数作为sql语句的本身来执行 public class Demo_login { public static void main(String[] args) { System.out.println("请输入用户名:"); Scanner sc = new Scanner(System.in); String use...
SQL注入绕过技术:策略与方法
"这篇文章除了介绍SQL注入绕过技术外,还涉及了Web应用防火墙(WAF)的工作原理、功能以及如何识别扫描器。文章提到了9种绕过WAF的方法,并对每种方法进行了简要的阐述。" SQL注入是一种常见的网络安全攻击方式,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值