mysql 注入补丁_Mysql数据库之sql漏洞注入

最新推荐文章于 2024-05-15 13:29:41 发布
最新推荐文章于 2024-05-15 13:29:41 发布
阅读量230 收藏
点赞数
文章标签: mysql 注入补丁
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39669982/article/details/111945232
版权

sql漏洞注入是利用sql语句拼接字符串造成入侵者不输入密码甚至不输入用户名就能登录。

#导入pymsql模块

importpymysql

user=input("用户名:")

pwd=input("密码:")#步骤一:python创建与mysql的连接

conn=pymysql.connect(host="127.0.0.1",user="root",password="123456",database="test")#步骤二:创建一个游标对象

get_cursor=conn.cursor()

sql="select * from userinfo2 where name='%s' and pwd='%s'" %(user,pwd)#步骤三:使用游标对象中的execute方法执行sql语句

get_cursor.execute(sql)#步骤四:将查询出的结果取出来

result=get_cursor.fetchone()ifresult:print("登录成功!")else:print("登录失败!")

通过上述代码中:假设用户名是:user,密码:123456

在通过输入用户名和密码正确的情况下,登录成功;只要有一个不正确,那么就登录失败。那么如何才能在不知道用户名和密码的情况下登录成功呢?如下:

首先我们输入正确的用户名和密码,得到的sql语句:select * from userinfo2 where name='user' and pwd='123456';

但是如果我们这样输入,也可以登录:abcdefg' or 1=1 --'

这种输入的话,得到的sql语句是:select * from userinfo2 where name='abcdefg' or 1=1 --' and pwd='123456';  这句话是绝对成立的,原因是后面的--将密码给注释掉了,前面的两个条件中,无论name什么值,在1=1是绝对正确的,查询数据库中所有的数据。

防止sql漏洞注入的方法

不要使用上面的字符串拼接的方法进行使用sql语句,而是要使用如下方法(将上面的方法修改):

方法一:使用元组或列表的方法代替字符串拼接

sql="select * from userinfo2 where name=%s and pwd=%s"get_cursor.execute(sql,[user,pwd])

方法二:使用execute提供的方法中的参数代替字符串拼接

sql="select * from userinfo2 where name=%s and pwd=%s"get_cursor.execute(sql,user,pwd)

方法三:使用字典的方法代替字符串拼接

sql="select * from userinfo2 where name=%(a)s and pwd=%(b)s"get_cursor.execute(sql,{'a':user,'b':pwd})

weixin_39669982
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mysql数据库入门一
JINRONGG的博客
08-30 413
数据库的概述:1.什么是数据库? 数据库(DataBase,DB):指长期保存在计算机的存储设备上,按照一定规则组织起来,可以被各种用户或应用共享的数据集合. 文件系统,数据的仓库 2.数据库管理系统? 数据库管理系统(DataBase Management System,DBMS):指一种操作和管理数据库的大型软件,用于建立、使用和维护数据库,对数据库进行统一管理和控制,以保证数据库的安全性和完整
mysql数据库密码爆破
qq_46258964的博客
06-15 2041
mysql忘记密码爆破思路: 1,停止mariadb服务 2,跳过授权启动数据库进程 3,重设管理密码 4,关闭mysql——safe进程 5,启动mariadb服务 5,验证新密码 步骤: 1,停止mariadb服务 [root@svr7 ~]# systemctl stop mariadb 2,跳过授权启动数据库 [root@svr7 ~]# mysqld_safe --skip-grant-tables & [1] 105799 [root@svr7]# 3,免密进入数据库 [root
高级DBA带你处理Mysql数据库漏洞修复方法以及升级版本方法指南最详细全网唯一
nasen512的博客
09-21 1万+
mysql修复漏洞方法window平台以及linux平台非常详细,全网独一份,值得收藏,尤其是DBA跟运维实施必须收藏!运维工程师比如用到!
MySQL补丁下载及安装
最新发布
qq_32166533的博客
05-15 1100
在使用MySQL数据库时,及时更新和安装MySQL补丁是非常重要的,可以提升系统的稳定性和安全性。假设我们当前使用的MySQL版本是5.7.30,我们可以在MySQL官方网站的下载页面上找到对应版本的补丁文件进行下载。在使用MySQL数据库时,为了确保系统的稳定性和安全性,我们需要定期更新和安装MySQL补丁。得到MySQL版本信息后,我们可以在MySQL官方网站的下载页面上找到对应版本的补丁文件进行下载。在下载MySQL补丁之前,我们需要先确认我们正在使用的MySQL版本。希望本文对您有所帮助。
mysql漏洞修复(mysql升级)
qyhua的专栏
03-14 1602
用扫描软件扫描后一堆漏洞打开第1个可以看到解决办法:以为访问官网拿补丁打上后就了事,没想到登陆后需要客户标识(我不是客户)还是走升级版本的路。登陆后的界面如下:看上面提交标识后还要等联系,再确认,后面的流程要不要交费也不清楚,还是进行版本升级。
Mysql漏洞处理之升级版本到5.7.42/5.7.43过程指导手册
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-20 1万+
某次安全漏扫,发现MySQL大量漏洞,基于Mysql之用于内网,且版本确实有点旧,考虑升级,综合漏洞分析,只能升级到最新版5.7.42和8.0.33,现场环境:Mysql 5.7.28、5.7.20和mysql:8.0.21。附录:[mysql5.7和mysql8.0区别(https://www.cnblogs.com/harda/p/16497988.html)、1)可以获取到MySQL/MariaDB/Percona/TiDB Server版本信息,版本泄露,隐藏版本即可。
MySQL8漏洞处理之小版本升级至8.0.33
一掬净土
06-20 8201
MySQL低版本经常会出现一些漏洞,有些高危漏洞就得处理,以未知风险。升级至最新版本一般可以解决大部分的问题。
10-sql注入-mysql注入1
08-03
MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及范措施。 1. **SQL注入原理**: 当应用程序将用户提供的数据直接拼接到SQL查询中而不进行适当验证时,就...
最新MySQL数据库漏洞情况通报
12-15
总之,MySQL数据库的远程代码执行漏洞(CNNVD-201609-183)提醒我们,即使是最常用和看似安全的软件也可能存在安全隐患。及时获取安全更新、实施安全策略和持续监控系统是保护数据安全不可或缺的步骤。作为数据库...
PHP+MysqlSQL注入源码 下载
04-21
总的来说,面对SQL注入威胁,开发者需要有高度的安全意识,合理利用PHP和MySQL提供的安全机制,避免源码中存在的漏洞成为攻击者的入口。通过深入理解SQL注入的原理和范措施,我们可以提高Web应用的安全性,保护...
node-mysqlSQL注入的方法总结
09-09
SQL注入是一种常见的网络安全威胁,它利用开发者在编写应用程序时对用户输入数据处理不当的漏洞,通过构造恶意的SQL语句来获取、修改或删除数据库中的敏感信息,甚至控制整个数据库服务器。在Node.js环境中,使用`...
MySQL 面试题-SQL注入篇.docx
09-17
SQL注入是一种严重的网络安全威胁,尤其针对使用MySQL数据库系统的Web应用程序。攻击者通过在用户输入的数据中插入恶意SQL代码,可以操控数据库,获取敏感信息,甚至破坏整个系统。以下是关于SQL注入的详细解释和...
Microsoft SQL Server 缓冲区错误漏洞(CVE-2018-8273)解决方法
y995zq的博客
11-01 636
目前厂商已发布升级补丁以修复漏洞补丁获取链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8273。点击链接后进入到该页面,下拉到最下方,安全更新位置。(之前找上面是没有对应的内容的,打开页面都是404)在一次漏洞扫描中,扫描出紧急漏洞。点击箭头链接到该页面,下拉找到下载程序包的位置。再次点击点头位置,就可以看到下载补丁内容了。根据漏洞修复建议去下载补丁。根据修复建议找补丁
mysql[漏洞补丁]小版本升级5.7.25到5.7.28
热门推荐
崂山啤酒加冰的博客
12-26 2万+
mysql[漏洞]小版本升级 事件背景 近日,公司进行安全扫描,发现mysql存在漏洞,高危漏洞编号为(CVE-2019-3822),此外还有多个中危,低危漏洞,目前mysql版本为5.7.25 解决方案 对mysql进行小版本升级到5.7.28,生产环境无法联网,用rpm 包离线安装,选择就地升级。 Mysql的两种升级方式 就地升级(In-place Upgrade) 关闭旧版本mys...
小白入门(九):Oracle数据库补丁操作过程
狗剩儿的记忆博客
12-09 5284
文章目录前言简要介绍:一.OPatch 更新:1、检查目前补丁包版本($ORACLE_HOME下):2、创建目录备份当前Opatch工具:3、传输压缩包并解压Opatch工具至$ORACLE_HOME下:二、应用PSU补丁:1、Oraclehome下创建目录解压PSU补丁:2、执行oracle 中间补丁安装程序:3、停止监听以及数据库:4、应用补丁:三、数据库应用补丁:1、升级数据库数据字典、编译无效对象 :2、查看 PSU 更新信息3、opatch 检查:1、升级前检查是否有冲突1.1测试兼容性, 如果之
SQL注入漏洞补丁asp版
weixin_34390996的博客
11-16 331
以下代码是网上流行的枫叶SQL注入通用版的代码,我在原来的基本上去掉一些内容,使之简单化.以代码拷进记事本,另存为asp文件。然后在数据库连接文件那里加上包含代码就行了,例如:<!-- #i nclude file="文件名" -->以下是代码<%'--------定义部份------------------Dim Fy_Post,F...
Oracle数据库补丁方法
老秦的博客
04-29 5559
Oracle DataBase 数据库补丁
mysql数据库安全sql注入
06-13
SQL注入攻击是利用Web应用程序没有对用户输入的数据进行充分验证过滤,直接将用户输入的数据拼接到SQL语句中执行,从而导致...5. 更新数据库:及时更新数据库的版本,安装安全补丁,从而避免已知的漏洞被攻击者利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值