mysql语句安全性_Mysql安全性测试

最新推荐文章于 2023-09-19 22:16:52 发布
最新推荐文章于 2023-09-19 22:16:52 发布
阅读量289 收藏
点赞数
文章标签: mysql语句安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39533896/article/details/113278649
版权

一、没有进行预处理的SQL语句

// 1.连接数据库

$conn = mysql_connect('127.0.0.1:3306', 'root', '518666');

if (!$conn)

{

die("Could not connect:" . mysql_error());

}

// 2.选择数据库

mysql_select_db('mysql_safe', $conn);

// 3.设置编码,注意这里是utf8而不是utf-8,如果写后者,MySQL不会识别的,会出现乱码的。

mysql_query("SET NAMES utf8");

$title = "我们的爱情";

$content = '你是/谁啊,大几\都"老梁"做做&>women没';

$add_time = date("Y-m-d H:i:s");

// 转义字符

$content = mysql_real_escape_string($content);

$content = htmlspecialchars($content, ENT_COMPAT);

// 你是/谁啊,大几都做做&>women<a>没 // 自动过滤反斜杠

/*

// 4.插入一条数据

$insert_sql = "insert into post_tbl (title, content, user_id, add_time) values ('{$title}', '{$content}', '4742551', '{$add_time}')";

if(mysql_query($insert_sql))

{

echo 'ok';

}

else

{

echo "Error : " . mysql_error();

}

$ret = mysql_affected_rows();

print_r($ret);

*/

// 5.PDO预处理插入

// PDO(PHP Data Object)则是提供了一个 Abstraction Layer 来操作数据库

// 查询

$user_id = 174742;

$password = "''or '1=1'" ;

$sql = "select * from post_tbl where user_id = {$user_id} and password = {$password}";

print_r($sql);

$query = mysql_query($sql);

// $result = mysql_fetch_array($query);

$rows = array();

while($row=mysql_fetch_array($query))

{

$rows[] = $row;

}

print_r( $rows);

// 关闭数据库连接

mysql_close($conn);

/*

$str = "Bill & 'Steve'";

echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号

echo "
";

echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号

echo "
";

echo htmlspecialchars($str, ENT_NOQUOTES); // 不转换任何引号

*/

/*

以上代码的 HTML 输出如下(查看源代码):

Bill & 'Steve'

Bill & 'Steve'

Bill & 'Steve'

以上代码的浏览器输出:

Bill & 'Steve'

Bill & 'Steve'

Bill & 'Steve'

*/

function mforum_html_tag_to_html_entity($content)

{

$content = (string)trim($content);

if(empty($content)) return '';

// $content = str_replace(' ', ' ', $content);

$content = htmlspecialchars($content, ENT_COMPAT, GB2312, false);

$content = str_replace(">", ">", $content);

$content = str_replace("<", "<", $content);

$content = str_replace("\"", """, $content);

$content = preg_replace("/\\\$/", "$", $content);

$content = preg_replace("/\r/", "", $content);

$content = str_replace("!", "!", $content);

$content = str_replace("'", "'", $content);

$content = preg_replace("/\\\/", "\", $content);

// 内容敏感词过滤

return $content;

}

二、PDO处理的SQL语句

// PDO的使用

// http://blog.csdn.net/qq635785620/article/details/11284591

$dbh = new PDO('mysql:host=127.0.0.1:3306;dbname=mysql_safe', 'root', '518666');

$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

$dbh->exec('set names utf8');

$title = "我们的爱情";

$content = '你是/谁啊,大几\都"老梁"做做&>women没' . " 测试打印号'我是单引号'哈哈";

$user_id = 174742;

$add_time = date("Y-m-d H:i:s");

// $insert_sql = "insert into post_tbl (title, content, user_id, add_time) values (:x_title, :x_content, :x_user_id, :x_add_time)";

// $stmt = $dbh->prepare($insert_sql);

// $stmt->execute(array('x_title'=>$title,':x_content'=> $content, ':x_user_id' => $user_id, ':x_add_time' => $add_time));

// 查询

$user_id = "17474#";

// $password = "''or '1=1'";

$password = 123456;

$sql = 'select * from post_tbl where user_id = :x_user_id and password = :x_password';

$stmt = $dbh->prepare($sql);

$stmt->execute(array(':x_user_id'=>$user_id, ':x_password' => $password));

$rows = array();

while($row = $stmt->fetch(PDO::FETCH_ASSOC))

{

$rows[] = $row;

}

print_r($rows);

// echo $dbh->lastinsertid();

weixin_39533896
关注
Mysql安全性测试
12-14
一、没有进行预处理的SQL语句   <?php   // 1.连接数据库   $conn = mysql_connect('127.0.0.1:3306', 'root', '518666');   if (!$conn)   {   die("Could not connect:" . mysql_error());   }   // 2.选择数据库   mysql_select_db('mysql_safe', $conn);   // 3.设置编码,注意这里是utf8而不是utf-8,如果写后者,MySQL不会识别的,会出现乱码的。   mysql_query("S
mysql语句安全性_MySQL安全性语言
weixin_34163020的博客
01-19 382
文章为作者原创,未经许可,禁止转载。 -Sun Yat-sen University 冯兴伟实验2:安全性语言安全性实验包含两个实验项目,其中1个为必修,1个为选修。自主存取控制实验为设计型实验项目,审计实验为验证型实验项目,选做一个即可。实验2.1自主存取控制实验(1)实验目的掌握自主存取控制权限的定义和维护方法。(2)实验内容和要求定义用户、角色,分配权限给用户、角色,回收权限,以相应的...
mysql安全测试
na_tion的专栏
11-24 1355
本文主要描述mysql安全测试过程,会不断的及时更新
mysql数据库安全测试_MySQL数据库安全解决方案
weixin_35969301的博客
02-02 453
随着网络的普及,基于网络的应用也越来越多。网络数据库就是其中之一。通过一台或几台服务器可以为很多客户提供服务,这种方式给人们带来了很多方便,但也给不法分子造成了可乘之机。由于数据都是通过网络传输的,这就可以在传输的过程中被截获,或者通过非常手段进入数据库。由于以上原因,数据库安全就显得十分重要。因此,本文就以上问题讨论了MySQL数据库在网络安全方面的一些功能。帐户安全帐户是MySQL最简单的安全...
mysql 案例 ~ mysql安全渗透测试
weixin_33825683的博客
05-22 221
一 简介 Metasploit是一款可以从多种角度进行勘测的渗透工具 二 使用 1 安装 curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstal...
Exam_MVC_MySql.rar_Exam_MVC_MySql_MySQL考试_mvc_考试系统
09-24
同时,为了保证系统的安全性和性能,会涉及数据库优化、权限控制、错误处理和数据备份等方面的技术。 综上所述,"Exam_MVC_MySql.rar_Exam_MVC_MySql_MySQL考试_mvc_考试系统" 提供的资料详细介绍了如何使用MVC架构...
MYsql.rar_MYSQL_delphi mysql_mysql delphi
09-22
使用MySQL时,应遵循最佳实践,比如使用参数化查询防止SQL注入,定期备份数据,限制数据库用户的权限,以及保持数据库软件和驱动程序的更新以增强安全性。 综上所述,"MYsql.rar_MYSQL_delphi mysql_mysql delphi...
mysql++-1.7.27.tar.gz_C MYSQL_C++ sql_MYSQL_c++ mysql_mysql c++
09-21
MySQL++ 是一个开源库,专为C++程序员设计,提供了与MySQL数据库交互的接口。它使得在C++程序中执行...记得在使用过程中遵循最佳实践,如适当处理异常、确保资源及时释放,以及正确使用预处理语句以确保应用的安全性
flex_php_mysql.rar_flex_flex_php_mysql_php mysql_php+mysql_php增删
09-23
预处理语句可以防止SQL注入攻击,而PDO提供了面向对象的接口,增强了数据库操作的灵活性和安全性。 7. **设计模式与最佳实践**:在实现这样的系统时,可能会涉及MVC(Model-View-Controller)设计模式,将业务逻辑...
MySql注入科普
ABC-II
11-22 1306
默认存在的数据库:       mysql            需要root权限读取            information_schema            在5以上的版本中存在      测试是否存在注入方法 假:表示查询是错误的 (MySQL 报错/返回页面与原来不同) 真:表示查询是正常的 (返回页面与原来相同
安全测试-SQL注入
一步一步带领
04-08 1108
1.什么是SQL注入 许多网页会从用户那里获取参数,并构建SQL查询来访问数据库。以用户登录为例,页面收集用户名和密码然后构建SQL去查询数据库,来校验用户名和密码的有效性。通过SQL注入,我们可以发送经过精心编造的用户名和/或密码字段,来改变SQL查询语句并赋予 我们其它一些权限。通过SQL注入,不仅能绕过登录验证,还可能得到数据库中表的各种信息,参数常存在于需要用户提交的表单或浏览器地址中。
Mysql安全措施
chengxuyuanyonghu的专栏
02-20 3120
root权限一定要只允许本机登陆,并且MySQL安全目录权限一定要只允许本地,root用户一定要密钥认证登陆系统(这涉及到系统安全的优化)而且MySQL的安装目录权限一定要合理设置,并且mysql用户不可登陆,只作为启动用。MySQL的binlog要合理管理,配置好权限。 1、mysqladmin -u root password "newpass" 如果已经配置了密码:
MYSQL数据库安全测试
weixin_51957047的博客
04-22 498
’************ 'C:/phpstudy/shell.php’语句向服务器提交名为shell.php的一句话木马,将语句中*号的明文作为Flag提交(*为大写字母或者空格);3.利用渗透机场景kali中的msf工具使用root目录下password.txt字典文件破解MySQL的密码,并将破解MySQL的密码所需的模块当作Flag提交(账户为root);6.使用菜刀连接上题中的shell.php,下载服务器根目录下的压缩包,将压缩包中的Flag提交;菜刀连接,下载flag.zip。
mysql安全性试验_Mysql安全性测试
weixin_30486919的博客
02-09 420
一、没有进行预处理的SQL语句
mysql安全检测包括哪些方面_MySQL基础的安全设置包括哪些?
weixin_39518002的博客
01-18 206
MySQL软件所提供的权限32313133353236313431303231363533e59b9ee7ad9431333433643763(mysql.user、mysql.db、mysql.host)(1) 系统表mysql.useruser权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。用户字段用户字段.png权限字段权限字段.png安全字段安全字段.png# 查看是否...
安全测试基础之MySQL
sinat_26587709的博客
11-10 579
MySQL基础知识1 MySQL基础1.1 MySQL安装1.2 MySQL启动1.3 MySQL基本命令1.4 MySQL语法规范1.5 SQL语⾔分类2 MySQL数据类型 1 MySQL基础 1.1 MySQL安装 window中安装mysql 官⽹下载mysql5.7.25:https://dev.mysql.com/downloads/mysql/5.7.html#downloads win10安装mysql5.7详细步骤可以看:http://www.itsoku.com/article/192
MySQL安全性测试与PHP
最新发布
PeGroovy的博客
09-19 55
通过正确配置数据库连接安全性、管理用户权限、加密敏感数据和定期备份数据,可以减少潜在的安全风险,并保护用户数据的机密性和完整性。2.1 创建独立的应用程序用户:为Web应用程序创建一个单独的MySQL用户,并仅授予执行必要操作的权限。1.1 使用安全的连接方法:使用PHP的mysqli或PDO扩展来建立与MySQL数据库的连接,以确保数据传输过程中的加密和身份验证。1.1 使用安全的连接方法:使用PHP的mysqli或PDO扩展来建立与MySQL数据库的连接,以确保数据传输过程中的加密和验证。
一文带你深入了解安全测试基础之SQL注入详解【建议新手收藏】
嵌入式Linux内核的博客
02-04 1277
一、什么是SQL注入 SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。 www.xx.com/news.php?id=1 www.xx.com/news.php?id=1 and 1=1 这里我们来理解一下SQL注入 首先,SQL注入常年蝉联OWASP排行榜第一名 SQL注入产生的过程是怎样的呢?见下图 SQL注入的危害有哪些?   数据库信息泄露   网页篡改   网站被挂马   数据库被恶意操作   服务器被远程控制
MySQL】-安全性控制
m0_64750119的博客
10-08 3504
用户、角色与权限
mysql与SQL注入:CTF Web安全探索关键信息库
此外,熟悉这些库和命令可以帮助安全专家更好地进行渗透测试和应急响应,确保系统的稳定性和安全性。通过理解SQL注入原理和防护策略,参与者可以在CTF挑战中有效地防御此类攻击,同时也能在实际工作中避免安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值