SQL注入

最新推荐文章于 2021-12-18 09:40:55 发布
最新推荐文章于 2021-12-18 09:40:55 发布
阅读量310 收藏 1
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42420804/article/details/105735391
版权

什么是SQL注入

SQL注入是是指Web应用程序对用户输入数据的合法性合法性没有进行判断,就把输入的数据传递到后端并带入数据库进行查询,导致攻击者可以对数据库进行任意操作。
常见的SQL注入:报错注入、盲注、Union注入、Boolean注入等

SQL注入产生的原理

SQL注入漏洞产生需要满足两个条件:
1.参数用户可控:前端传给后端的参数是由用户控制的
2.参数带入数据库查询:用户输入的参数会拼接到SQL语句中并带入到数据库进行查询
常用的判断某个点是否有SQL注入的方法:在参数后加单引号、在参数后加’or 1=1 – 、在参数后加’or 1=2 – ,如果这三步中第一和第三步返回错误,第二步返回正确的话就可以确定该点存在SQL注入漏洞
下面以OWASP靶机做实验:
第一步:输入正确的参数,返回正常
在这里插入图片描述第二步:在参数后加单引号,返回错误
在这里插入图片描述第三步:在参数后加’ or 1=1 – ,看到可以把表中的所有数据都显示出来
在这里插入图片描述第四步:在参数后面加’ or 1=2 – ,页面没有任何数据返回
在这里插入图片描述

SQL注入绕过技术

常用的绕过技术有:大小写绕过注入(如or写成Or)、双写绕过注入(如and可以写成anandd)、编码绕过注入(如and 1=1可以写成%61%6e%64%20%31%3d%31)等等非常多的方式,得自己慢慢去探索

SQL注入的防范方法

常用的SQL注入方法有:
1.过滤危险字符
现在大多数的CMS都采用这种方法,一但识别到sleep、union等关键字时,就会退出程序,以这种方式来防止注入(仍有绕过的方法)
2.使用预编译语句
使用PDO预编译语句,不要将变量直接拼接要PDO语句中,而是使用占位符来对数据库进行增删改查操作(这种方式较为安全)。

three_years_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
简单SQL注入
weixin_30500663的博客
03-24 99
既然是简单的,估计也就是''字符型把,输入'or'1 以下是输出结果,or没被过滤,单引号也没有 呢么用union联合注入试试,提交了'-1 union/**/select 1 and '1,发现回显是 嗯哼,什么情况,当把空格都用/**/代替后,回显正常,应该是关键字空格一起吃掉的过滤。所以,我们一个一个来尝试把。 http://ctf5.shiyanbar.com/423/web...
php微信漏洞,wecenter 3.1.9 /app/m/weixin.php 反序列化造成SQL注入漏洞
weixin_36234738的博客
03-25 325
wecenter 3.1.9 /app/m/weixin.php 文件中,对传入的参数反序列化后直接构造SQL语句进行查询,导致SQL注入漏洞漏洞文件:/app/m/weixin.php:110相关代码public function authorization_action(){$this->model('account')->logout();unset(AWS_APP::sessi...
SQL注入检测,必备什么条件,求内网渗透测试工具与相关知识,求高手解答.谢谢
Fish77738的专栏
05-22 804
SQL注入检测,必备什么条件,求内网渗透测试工具与相关知识,求高手解答.谢谢 熟练掌握各种内网渗透测试工具与相关知识,精通常见安全攻防技术:sql注入、xss、文件上传、文件包含、命令执行等漏洞 熟悉linux、unix、Windows、oracle、J2EE等各种环境下WEB的安全配置与安全检查及WEB漏洞防范; 熟悉各种脚本语言(asp,php,jsp,java,net、perl、py
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
DB2数据库SQL注入手册1
最新发布
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
SQL注入思路详解
12-14
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序在处理用户输入数据时的不足,使得攻击者能够构造恶意的SQL语句来控制或篡改数据库。本文将深入解析SQL注入的思路,帮助你理解和防范这种攻击。 首先,SQL...
SQL注入文献.zip
03-18
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序的不足,使得攻击者能够通过输入恶意的SQL代码来操纵数据库。这些文献提供了对SQL注入攻击的深入理解、检测方法和防范策略。 1. **基于自训练的半监督SQL注入...
sql注入之必备的基础知识
thesiege的博客
12-06 519
什么是SQL注入SQL Injection)所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 mysql常用注释# --[空格]或者是--+ /*…*/ 在注意过程中,这些注释可能都需要进行u
SQL注入介绍
流浪法师的博客
12-18 854
本篇文章介绍了sql注入的常见注入类型及方法!
sql注入准备知识
gg的博客
03-22 222
sql注入准备知识 这篇文章会介绍一些sql注入的准备知识,都是基于mysql数据库的 sql语言是什么: 一种功能极强的关系数据库标准语言,不需要定义如何访问数据库,只需要告诉数据库要做什么 sql语言的主要功能 : 查询 操纵 定义 控制 常用的sql注入中的函数: 基本数据库信息 @@version 和 version() 查询数据库的版本信息 user() 查询用户名 curr...
sql注入
leso24的博客
05-19 294
基础知识(原理,注入要素、思路等) sql注入原理 用户输入数据被sql解释器执行 sql注入三要素 未严格进行过滤 恶意修改 执行语句 常见数据库 MySQL SQL Server Oracle sql注入思路 注入漏洞查询(先要弄明白注入处数据类型) 数字型 判断方式: 数字型的最好方式就是:URL之后输入的参数为整型 常见: GET型 字符型 判断字符型的方式:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值