黑马程序员——SQL注入漏洞攻击

最新推荐文章于 2024-07-25 22:46:25 发布
最新推荐文章于 2024-07-25 22:46:25 发布
阅读量509 收藏
点赞数
分类专栏: 学习日记 文章标签: 黑马程序员 .net

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。通过字符串拼接的方式,将程序中的字符串变量username,password与select结合起来,如果有返回值则说明登陆成功,否则登陆失败。因为它的验证方式是通过字符串拼接来完成的,因此我们可以在密码框内这样写:1' or '1' = '1  。显示登录成功。下面是代码部分。

namespace _01第一个mdf

{

    class Program

    {

        static void Main(string[]args)

        {

            stringdataDir = AppDomain.CurrentDomain.BaseDirectory;

            if(dataDir.EndsWith(@"\bin\Debug\")|| dataDir.EndsWith(@"\bin\Release\"))

            {

                dataDir = System.IO.Directory.GetParent(dataDir).Parent.Parent.FullName;

                AppDomain.CurrentDomain.SetData("DataDirectory", dataDir);

            }

Console.WriteLine("请输入用户名?");

 stringusername = Console.ReadLine();

Console.WriteLine("请输入密码?");

string password = Console.ReadLine();//输入 1' or '1' = '1¨¨SQL注入¨漏洞攻击

 

            using(SqlConnection sqlcon =new SqlConnection(@"Data Source=.\SQLEXPRESS;AttachDBFilename=

                   |DataDirectory|\Database1.mdf;integrated Security=True;UserInstance=True"))

            {

                sqlcon.Open();

                using(SqlCommand cmd = sqlcon.CreateCommand())

                {

                    //cmd.CommandText= "select count(*) from T_Users where UserName='"+ username+"'and Password='"+password+"'";造成注入漏洞攻击

//如下这样¨´,利用参数化查询,将参数放入SQL语句,不会进行字符串的拼接,SQL注入便不攻自破

 

                    cmd.CommandText = "select count(*) from T_Users whereUserName=@UserName and Password=@Password";

                    cmd.Parameters.Add(newSqlParameter("UserName", username));

                    cmd.Parameters.Add(newSqlParameter("Password", password));

                    inti =Convert.ToInt32(cmd.ExecuteScalar());

                    if(i > 0)

                    {

                        Console.WriteLine("登录成功");

                    }

                    else

                    {

                        Console.WriteLine("用户名或密码错误");

                    }

                }

            }

            Console.WriteLine("ok");

            Console.ReadKey();

        }

    }

}

落叶无声1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑马程序员--学习笔记之SQL注入漏洞攻击
yangqinjiang的专栏
06-24 885
---------------------   Windows Phone 7手机开发    .Net培训  期待与您交流! ---------------------- 1、SQL注入漏洞攻击 登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中.构造恶意的Password: ‘ or
sql注入----黑马JavaWebday03
JimmyWangJimmy的博客
11-01 96
JDK环境变量一定配置!
SQL注入攻击与防御(第2版)》百度网盘链接
热门推荐
吴名氏的博客
06-21 16万+
链接:https://pan.baidu.com/s/1lKKE38mEUh5AqNcfOfB6ew 提取码:c8t9 复制这段内容后打开百度网盘手机App,操作更方便哦
黑马程序员——ADO.Net学习笔记
xg48762453的专栏
04-08 400
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ---------------------- ADO.Net基础 简介: 1.程序要和数据库交互要通过ADO.Net进行,通过ADO.Net就能在程序中执行SQL了。ADO.Net中提供了对各种不同数据库的统一操作接口。 2.直接在项目中内嵌mdf文件的方式使用SQLServ
黑马程序员——IOS学习九:ios开发之数据的持久化存储机制——黑马 ios 技术博客
黑马程序员杜梦秋的技术博客专栏
12-02 419
------Java培训、Android培训、iOS培训、.Net培训、期待与您交流! ------- IOS中数据的持久化保存这块内容,类似于Android中文件的几种常见的存储方式。 对于数据的持久化存储,ios中一般提供了4种不同的机制。 1.属性列表 2.对象归档 3.数据库存储(SQLite3) 4.苹果公司提供的持久性工具Core Data。 其实储存
JavaWeb期末考试复习总结——黑马程序员
Vivien_CC的博客
07-02 2万+
根据应用程序配置文件设置的过滤规则进行检查,若客户请求满足过滤规则,则对客户请求/响应进行拦截,对请求头和请求数据进行检查或改动,并依次通过过滤器链,最后把请求/响应交给请求的。根据应用程序配置文件设置的过滤规则进行检查,若客户请求满足过滤规则,则对客户请求/响应进行拦截,对请求头和请求数据进行检查或改动,并依次通过过滤器链,最后把请求/响应交给请求的。2、JSP注释:、//java语句注释、/* java程序段注释...*/、
黑马程序员武汉中心——javaee面试宝典之框架
whczbk的博客
07-30 533
9、JAVAEE框架 9.1 spring框架 9.2 springMVC框架 9.3 Mybatis 框架 9.4 springboot简介 9.5 微服务 1、Spring体系结构组成 Date Access/Integration 数据访问/集成 JDBC模块提供了删除冗余的JDBC相关编码的JDBC抽象层。 ORM模块为流行的对象关系映射API,包括JPA,JD...
SQL注入漏洞全接触.ppt
11-15
* SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到的资料。 二、 SQL注入漏洞的...
自己动手编写SQL注入漏洞扫描工具
12-31
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能够自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取...
SQL注入漏洞演示源代码
09-29
在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理,并学习如何防止它。 SQL注入是通过输入恶意的SQL语句来操纵或破坏数据库的一种手段。攻击者通常在Web表单中输入特殊字符序列,使得应用...
CSZ CMS 1.2.X sql注入漏洞
09-07
# (CVE-2019-13086)CSZ CMS 1.2.Xsql注入漏洞 ## 一、漏洞简介 CSZ CMS是一套基于PHP的开源内容管理系统(CMS)。 CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞...
通达OA sql注入漏洞.zip
08-24
`CVE-2023-4166.py`很可能是一个Python脚本,设计用于模拟攻击行为,检测或演示通达OA系统中的SQL注入漏洞。`requirements.txt`文件列出了执行此脚本所需的所有Python库,这些库可能包括网络请求工具如`requests`,...
软件测试:sql注入·依赖基本sql语句
m0_57290404的博客
12-23 1225
目的:回顾数据库查询条件语句(手工sql注入操作基础知识)语句:1. 查询所有字段:select * from users;2. 查询指定字段:3. 条件查询:4. 逻辑与:5. 逻辑或:select * from users where user=‘adminn’ or user_id= 5;联合UNION语句练习 2问题:执行失败,提示:使用SELECT语句有不同的列解决:使用数字代替列,猜测前面表查询寻列数。
.NET开源、简单、实用的数据库文档生成工具
技术杂谈,聚焦优质文章、开源项目、实用工具和学习、工作、面试心得分享。博客园推荐博客、阿里云专家博主,擅长于C#、.NET、.NET Core、Golang、TypeScript、Vue、Uni App、Angular开发。
07-24 611
今天大姚给大家分享一款.NET开源(MIT License)、免费、简单、实用的数据库文档(字典)生成工具,该工具支持CHM、Word、Excel、PDF、Html、XML、Markdown等多文档格式的导出:DBCHM。
.NET 相关概念
oscar999的专栏
07-25 704
NET 是一个由 Microsoft 开发和维护的广泛用于构建各种类型应用程序的开发框架。它是一个跨平台、跨语言的开发平台,提供了丰富的类库、API和开发工具,支持开发者使用多种编程语言(如C#、VB.NET、F#等)来构建应用程序。.NET 应用程序可以运行在多种操作系统上,包括Windows、macOS和Linux,并且支持从桌面应用到Web应用、移动应用、云服务、游戏和物联网(IoT)应用等多种应用类型。
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
深入解析ASP SQL注入漏洞
"SQL注入—ASP注入漏洞全接触" SQL注入是一种常见的网络安全问题,它发生在应用程序未能充分验证用户输入时,允许攻击者向数据库发送恶意SQL命令。ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值