记录在学习SQL注入的过程中遇到的几个坑

最新推荐文章于 2020-10-04 23:25:15 发布
最新推荐文章于 2020-10-04 23:25:15 发布
阅读量894 收藏 5
点赞数 2
分类专栏: MySQL 文章标签: sql注入 sqli-labs sqlmap SQL 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41013322/article/details/106290783
版权

这两天学习了一下关于SQL的注入,然后又遇到了一些坑坑。。。嗯,日常遇到坑的掌柜已经习惯了填坑的日常!!!😂好了,回到正题。

PS:本博文所用学习资料主要来源于《SQL注入:你的SQL是如何被注入的?

  1. 第一个坑就是👉:用 sqli-labs 模拟一次SQL注入实验的时候报错 “Fatal error:Uncaught Error:Call to undefined function mysql_connect()”,如下图。
    在这里插入图片描述
    调用未定义的函数???怎么回事?不是已经在phpStudy里面集成了sqli-labs的运行环境了吗?掌柜搜索了一番,有同样问题的朋友,但是没有给出相应的解法。。。
    在这里插入图片描述
    于是掌柜根据填坑太多的经验推测:难道是php版本配置那里有问题?
    一试,果真!!!原来配置phpStudy环境的时候,默认一开始使用的是php7.3.4版本,但是这个对于sqli-labs太高了。。。要用5开头的版本才可以
    在这里插入图片描述
    然后就成功配置好sqli-labs了。
    在这里插入图片描述
    接下来就愉快地进行一次SQL的模拟注入实验。
    在这里插入图片描述
    紧接着又来到用SQLmap 工具进行 SQL 注入检测这里。于是,又遇到第二个坑👇
  2. sqlmap错误的安装? 看报错图:
    在这里插入图片描述
    咦?掌柜这是跟着GitHub官方仓库下的安装步骤走的,咋就安装出错了。。。再次求助于强大的谷歌后发现,是sqlmap的文件位置安装错了!!!
    要把整个解压后的👉sqlmap文件安装到(你自己安装的)Python文件目录下👈。

像这样(掌柜这里Python安在E盘了,就把sqlmap放到E盘对应得Python文件夹下面):
在这里插入图片描述
接着在桌面创建了sqlmap的快捷方式:
在这里插入图片描述
记着修改该快捷方式的属性,把起始位置改为你的sqlmap的安装位置
在这里插入图片描述
就可以成功开始检测SQL的注入。

如果你不放心刚刚是否安装好了sqlmap这个工具,可以用官方的这个文件来测试一下。掌柜输入sqlmap.py -h命令后发现并没有出现预期的画面,而是直接跳转VSCode进行了模块的更新??这跟预想的不对啊。。。
在这里插入图片描述
再次检查后发现掌柜在命令行少输入了一个python😅,看来Windows10 也跟Linux一样的输入法,加上python后再次运行这个官方文件,就出现这样的画面代表sqlmap安装成功了!
在这里插入图片描述
然后掌柜继续进行SQL注入的检查。

当走到查询数据表中某些字段的值这一步的时候,第三个坑来了。

  1. 其实这个不算坑,但是需要注意一下有两个选项的选择
  • 第一个问你要不要存储hash值作为临时文件,记得选👉Y(就是最底下那行)
    在这里插入图片描述
  • 另一个就是这第一行,问你要不要破解它们?记得选👉N !!!
    在这里插入图片描述
    这样就会秒出结果。如果你不这么选的话,像掌柜一开始那样选了其他值,恭喜你!虽然会得到同样的查询结果,但是这会经过一个漫长的等待时间(10分钟左右)。。。还会导致CPU瞬间飙升!
    在这里插入图片描述
    好了🧐SQL注入的学习到这里就暂时结束了,感觉还挺有趣的,后面有机会再继续学习!

参考资料:
Windows 上 sqlmap的使用教程
sqlmap的官方GitHub

小白掌柜
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
报错:Fatal error: Uncaught Error: Call to undefined function mysql_connect()解决
BaiMao257的博客
08-29 2万+
解决数据库连接报错问题 PHP更新7.3之后,突然发现网站连接数据库之后出现了“Fatal error: Uncaught Error: Call to undefined function mysql_connect()”的错误提示。经过本小白一系列排(du)查(niang)发现这个函数改成了mysqli_connect().所以修改代码如下: $sql=mysqli_connect('test','root','root','abc'); //学习,一些不规范命名还请见谅。 mysql_query(
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
sql注入遇到的问题
luminous_you的博客
09-02 138
CA证书问题 https://www.cnblogs.com/slpawn/p/7235105.html 我用的firefoxproxy代理+burpsuite 1.下载证书,导入证书 2.打开firefoxproxy代理和burpsuite端口配置一样 联合注入时出现Illegal mix of collations for operation ‘UNION’ 原因: 字段编码不同导致的问题 相同字段的编码为utf8_general_ci 与 utf8_unicode_ci , 就会报Illegal mi
学习SQL注入引发的思考
遇卿
08-26 509
学习SQL注入引发的思考:statement和prepareStatement的区别
DVWA sql注入(high)
gclome的博客
07-05 4721
有了前两关的基础,现在做起来,比较得心应手了 现在开始: 1.输入1' 输入1' and '1'='1 输入1' and '1'='2 由此可见,这也是一个字符型的注入 2.获取字段数 输入1' order by 2# 输入1' order by 3# 由此可见,字段数是2, 我觉得所谓high等级较前两个的区别就是出错了之后,不再提醒错误原因,只显示Something went wrong. 3...
sql注入学习,运维很闲,心理不舒服,给他找找或干,sql注入的简单手法
Programmer_huangtao的博客
06-17 453
不管用什么语言编写的Web 应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络数据库驱动的Web 应用随处可见,由此而存在的SQL 注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL 注入吗?看完本篇文章希望能让你更加深刻的认识SQL 注入。注入攻击原理及自己编写注入点 1.1、什么是SQL? SQL 是一门ANSI 的标准计算机语言,用来访问和操作...
ACCESS使用SQL语句应注意的地方及几点技巧
11-22
- 在编写SQL语句时,尤其是在处理用户输入时,要特别注意SQL注入攻击的风险。可以通过参数化查询等方式避免此类安全问题。 6. **事务管理**: - 对于涉及多个操作的任务,使用事务可以确保数据的一致性和完整性。...
PHP开发常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
10-26
主要包括以下几类安全问题:SQL注入、跨站请求伪造(CSRF)、跨站脚本攻击(XSS)和CC攻击等。 首先,我们来探讨一下PHP一些安全配置的重要性。第一,关闭PHP错误提示功能,这可以在php.ini文件设置display_...
sqlserver的存储过程与 where in 多值参数
02-23
本文将探讨在SQL Server,存储过程与`WHERE IN`子句结合使用时,处理多值参数的几种方法。 **方法一:拼接SQL字符串并调用`EXEC`** 这是最简单也是最直观的方法。你可以在存储过程接收一个包含多个值的参数,...
ASP信息数据处理几个问题的探讨.pdf
08-15
【ASP信息数据处理几个问题的探讨】 ASP(Active Server Pages)是一种服务器端脚本语言,常用于构建动态网页和信息管理系统。在ASP处理信息数据时,常常会遇到一些关键问题,例如自动分栏显示、变量传递转换、...
sqli-labs-master
08-22
sqli-labs-master是一个练习sql注入的代码环境
Call to a member function getLastsql() on string,已解决
。。。的博客
09-26 2万+
今天使用getLastsq方法打印最后一条sql语句时 ,结果提示Call to a member function getLastsql() on string; 我的错误代码如下: $Count = $this ->Customer_Model ->where($Map) ->count("*"); var_dump($this ->Customer_Mode...
thinkphp5致命错误: Call to undefined method app\index\controller\Resource::assign()
热门推荐
K先生的博客
01-26 4万+
thinkphp5致命错误: Call to undefined method app\index\controller\Resource::assign()。 对于这个问题其实很好解决! 第一步,引入controller类use think\Controller; 第二步,继承controller类class Resource extends Controller 问题解决了。 ...
tp6 操作数据库Db::name或Db::table(错误Db' not found或Call to undefined method think\Db::name())
php菜鸟技术天地
01-01 1万+
要引入文件 use think\Facade\Db;
tp5本类调用自己写的方法出现调用未定义函数错误——致命错误: Call to undefined function app\index\controller\getToken()
weixin_42262935的博客
08-01 3万+
用了一段时间yii2之后换成tp5特别不习惯,还以为之前有tp3.2框架的基础,结果tp3.2和tp5完全不一样了!总结了几个新手易犯的错误在博客。 解决:调用自己写的方法要加$this-> ...
Thinkphp 数据库调试,获取数据库模型错误信息,获取数据库错误信息,获取最后一次执行的sql语句
技无涯的博客
04-21 5778
$model=D(‘User’);获取最后一次执行的sql:$model->_sql()与$model->getLastSql()一样的效果,前者是后者的调用获取数据模型的错误信息:    $model->getError();获取数据库因语法或者其他错误而报错的错误信息:$model->getDbError();...
tp6 操作数据库Db::name或Db::table(错误Db‘ not found或Call to undefined method think\Db::name())
sinat_29326171的博客
10-04 3957
加上use think\facade\Db; 不用加 namespace app\index\controller;
tp5 原生SQL: 写操作(execute方法)
php菜鸟技术天地
12-07 1万+
一、TP5原生写操作是通过Query类的execute()方法来实现 学习之前,先简单回顾了写操作常识: 数据表操作包括(增加、删除、修改、查询),即大家常说的:增删改,英文缩写:CURD。 操作语句主要有4个,他们的语法和说明: 序号 名称 关键字 语法 举例 1 新增 INSERT INSERT 表名 (字段列表) VALUES (值列表) ...
tp5.1 致命错误: Call to undefined method think\Cache::get()
我有一个魔盒的博客
05-21 5325
致命错误: 致命错误: Call to undefined method think\Cache::get() 原因:(引用类错误) thinkphp5.1有两个Cache类:think\Cache和think\facade\Cache。 官方文档说使用think\Cache,但实际是使用think\facade\Cache,可能是官方文档错了吧。 其他 致命错误: Class ‘app\index\controller\Cache’ not found(未引入Cache类) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值