字符串注入攻击

最新推荐文章于 2023-07-19 09:00:00 发布
最新推荐文章于 2023-07-19 09:00:00 发布
阅读量421 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/huluobozu/p/5341677.html
版权 
                //查询编号和名称(必须一致才能获取)

                Console.Write("请输入编号");
                string ids = Console.ReadLine();
                Console.Write("请输入名称");
                string name = Console.ReadLine();


                string str = "server=.;database=mydb;user=sa;pwd=123";
                SqlConnection conn = new SqlConnection(str);

                SqlCommand cmd = conn.CreateCommand();
                cmd.CommandText = "select * from fruit where    name='"+name+"' and ids='"+ids+"'";//字符串拼接容易被攻击

                conn.Open();
                SqlDataReader dr = cmd.ExecuteReader();

                while (dr.Read())
                {
                    Console.Write(dr["ids"].ToString() + "    ");
                    Console.Write(dr["name"].ToString() + "    ");
                    Console.Write(dr["price"].ToString() + "    ");
                    Console.Write(dr["source"].ToString() + "    ");
                    Console.Write(dr["stack"].ToString() + "    ");
                    Console.WriteLine(dr["image"].ToString());

                }

                conn.Close();
                //解决方案
                Console.Write("请输入编号");
                string ids = Console.ReadLine();
                Console.Write("请输入名称");
                string name = Console.ReadLine();

                string str = "server=.;database=mydb;user=sa;pwd=123";
                SqlConnection conn = new SqlConnection(str);

                SqlCommand cmd = conn.CreateCommand();
               //字符串注入攻击 ‘空格or 1=1 -- 
                //避免攻击 占位符赋值
                //cmd.CommandText = "select * from fruit where ids=@ids and name=@name";
                //cmd.Parameters.Clear();
                //cmd.Parameters.Add("@ids", ids);
                //cmd.Parameters.Add("@name", name);
                //parameters集合    使其作为整体放进去,而不是拼接
              

                conn.Open();
                SqlDataReader dr = cmd.ExecuteReader();

                while (dr.Read())
                {
                    Console.Write(dr["ids"].ToString() + "    ");
                    Console.Write(dr["name"].ToString() + "    ");
                    Console.Write(dr["price"].ToString() + "    ");
                    Console.Write(dr["source"].ToString() + "    ");
                    Console.Write(dr["stack"].ToString() + "    ");
                    Console.WriteLine(dr["image"].ToString());

                }

                conn.Close();

 

解决前

解决后

转载于:https://www.cnblogs.com/huluobozu/p/5341677.html

weixin_30882895
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
字符串型漏洞注入
红客网络编程与渗透技术
04-24 1049
SQL注入是一种严重的安全漏洞,它允许攻击者在不受控制的情况下执行任意的SQL代码。字符串注入是SQL注入的一种形式,它涉及到在应用程序的输入框中插入恶意的字符串,以干扰正常的SQL查询执行。此外,可以通过搭建安全的测试环境来实践SQL注入的防御技术,以加深对这一安全漏洞的认识。输入验证和清理:对用户输入进行严格的验证和清理,确保只接受符合预期格式和长度的输入。SQL注入的基本原理是攻击者通过构造特定的输入,使得原本的SQL查询语句结构发生改变,从而执行攻击者指定的恶意SQL代码。
字符串漏洞注入深入学习
最新发布
红客网络编程与渗透技术
04-25 1260
它涉及攻击者在不受控制的情况下,通过构造特定的字符串输入,干扰或改变应用程序中原有的SQL查询语句,从而执行恶意的SQL代码。最后,需要强调的是,在进行字符串型漏洞注入的学习和实践时,必须遵守法律和道德准则。研究如何构造包含恶意SQL代码的字符串输入,例如使用单引号、注释符等来闭合原有的SQL语句,并添加新的SQL代码。网络安全领域的技术和攻击手法不断演变,要关注最新的研究成果和趋势,了解新的防御技术和攻击手段。学习和分析实际的SQL注入案例,了解攻击者的思路和手法,以及受害者是如何被攻陷的。
「第七章」注入攻击
hacckjacking
01-22 562
「第三篇」服务器端应用安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
注入攻击
凉茶铺的博客
07-27 5444
注入攻击是Web安全领域中一种最为常见的攻击方式。XSS本质上也是一种针对HTML的注入攻击注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。解决注入攻击的核心思想“数据与代码分离”原则。...
SQL注入原理-字符型注入
T1ngSh0w的博客
09-13 8924
SQL注入原理-字符型注入
MySQL注入攻击与防御
02-25
下面几点是注入中经常会用到的语句控制语句操作(select,case,if(),...)比较操作(=,like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有...
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作...2.用execute方法执行字符串比如:此时,传进方法execute的参数就是字符串变量$query特别的,此时的字符串书写语法为js的书写语法。
实例讲解SQL注入攻击
02-26
如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本篇译文由zer0Black翻译自《SQLInjectionAttacksbyExample》。一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透...
js将字符串转成正则表达式的实现方法
10-26
但是,这种方法存在安全风险,因为`eval()`会执行任何JavaScript代码,如果字符串来自不可信的源,可能会导致代码注入攻击。因此,除非你完全控制输入,否则不建议使用`eval()`。 值得注意的是,使用`new RegExp()...
pikachu之字符串注入注入意义)
white_or_abc的博客
12-21 528
首先打开pikachu,然后进入字符串注入中,上面的问题是what’s your username?,判断此处命令的判断根据是id或者username,其实不重要,此处要猜测一下此处的语句就行,根据一个username判断内容的语句基本是 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 但是,在以前的写作业时,写上的答案是 kobe'and 1=1# $sql="SELECT * FROM users WHERE id='kobe'and 1
SQL注入分类,一看你就明白了。SQL注入点_SQL注入类型_SQL注入有几种_SQL注入点分类
ZL_1618的博客
07-19 406
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dN1M6UyX-1689305072146)(C:\Users\Administrator\Desktop\SQL注入思维导图.png)]
【web-渗透测试方法】(15.6)测试基于输入的漏洞
09-04 1042
【测试基于输入的漏洞】
浅谈SQL注入(拼接字符串注入
李志华 博客 专栏
07-16 8449
SQL注入解释:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入原因      写SQL语句的时候会用拼接字符串的方法,所以会发生SQL注入这种问题。SQL注入后果        如果是让别人发现了你的这个注入的漏洞的话,你的整个数据库有可能直接获得管理员的权限,也就是说这个数据库又可以能掌握在别人的手里,
SQL注入攻击常见方式及测试方法
热门推荐
Lambda_Y的博客
11-04 11万+
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入让小伙伴有个了解。适用的人群主要是测试人员,了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,至于如何预防SQL注入,按理说应该是开发该了解的事情~但是作为一个棒棒的测试,搞清楚原理是不是能让我们更加透彻地理解bug的产生原因呢~好啦,话不多说,进入正题~ 如何理解SQL注入攻击)? SQL注入
【2017-04-20】Sql字符串注入攻击与防御
weixin_30938149的博客
04-20 71
一、攻击 所谓sql字符串注入攻击就是在用户输入界面输入一串sql语句,来改变C#中连接数据库要执行的sql语句 通过你写的程序,直接来执行我想要执行的sql语句 例如:在这么一个程序中,sname是需要用户输入的内容。 在用户输入界面输入 a');update Student set Sname ='赵四';-- 本来是往Student表中添加学生信息,则变成了把所有...
项目常见SQL注入漏洞攻击及解决办法
u010174217的专栏
06-23 6498
项目接口常见SQL注入漏洞攻击及解决办法 1、弱口令漏洞 解决方案:使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。 2、未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置拦截器过滤掉无效用户的连接请求。 3、接口返回的信息中抛出的异常可能暴露程序信息。有经验的入侵者,可以从抛出的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。 解决方案:自定义一个Exception,将异常信息包装起来不要抛到
【2017-04-20】Sql字符串注入攻击与防御,实体类,数据访问类
dida5235的博客
04-20 90
字符串攻击 所谓sql字符串注入攻击就是在用户输入界面输入通过精心编制的含有某种指令的字符串,来改变C#中连接数据库要执行的sql语句,从而对数据库进行攻击性操作 在用户输入界面输入 a');update Student set Sname ='伊伊';-- 则数据库Sname一列都讲变为 伊伊 原理:用户输入的代码将c#中的sql语句中的sname替换掉了,就变成了...
拼接字符串改为 @字段名,防止注入攻击
weixin_34137799的博客
02-18 119
Console.WriteLine("请输入要查询的代号"); string code = Console.ReadLine(); SqlConnection conn = new SqlConnection("server=.;database=mydb;uid=sa;pwd=123"); SqlCommand cmd = co...
pgsql中如何注入字符串
05-10
在 PostgreSQL 中,注入字符串可以通过在 SQL 查询中使用不正确的引号或转义字符来实现。如果未正确处理输入,攻击者可以通过在字符串注入恶意代码来执行任意操作。 例如,假设我们有一个查询,如下所示: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值