Web安全——数据库的作用 & SQL注入的重点和常规操作!

最新推荐文章于 2024-01-19 20:22:36 发布
最新推荐文章于 2024-01-19 20:22:36 发布
阅读量462 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43815032/article/details/103081032
版权

给大家分享一下数据库的作用,以及为什么要使用数据库!包括SQL注入的重点和常规操作!

既然我们要了解并学习好SQL注入,就要了解一下数据库的基本概念,以及使用数据库的作用和目的!


那么我们就先来了解一下数据库的基本概念!数据库大致可以分为四点


1、数据(Data):

在计算机中,各种我们所看到的字母,文字,字符串,语音,图片视频等统称为数据


2、数据库(DB)【Access、MYSQL、Oracle、MSSQL等】

是按照数据结构来组织、存储和管理数据的“仓库”


3、数据库管理系统(DBMS)【Access、MYSQL、Oracle、MSSQL等】是一种操纵和管理数据库的软件,用于建立、使用和维护数据库。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。


4、结构化查询语言(SQL)【DQL、DDL、DML、TCL、DCL】是一种用于数据库查询和程序设计的语言,用于存取数据以及查询、更新和管理关系数据库系统


那么我们为什么要使用数据库呢?有什么作用呢?


那么我们先来了解一下两种网站形式


第一种、静态网页:

html或者htm,是一种静态的页面格式,不需要服务器解析其中的脚本。它的特点是:1.不依赖数据库;2、灵活性差,制作、更新、维护麻烦;3、交互性差,在功能方面有较大的限制;4、安全,不存在SQL漏洞


第二种、动态网页:

asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态页面。它的特点是:1、依赖数据库;2、灵活性好,维护简单;3、交互性好,功能强大;4、存在安全风险,可能存在SQL漏洞。


所以,综合上述,我们使用数据库就是为了::方便数据的存储以及增删改查!!!!


那么我们再来看一下SQL注入的原理,原因,方式,危害以及防御:


原理:通过把SQL命令用户提交的数据中,代码原有SQL语句的语义,从而达到 服务器 恶意的SQL命令。


原因:应用程序缺少对输入进行安全性设计。


方式:攻击者将一些包含指令的数据发送给解释器,欺骗解释器执行计划外的命令。


危害:读取或篡改数据库的信息,甚至能够获得服务器的包括管理员的权限。


防御: 1 、参数校验;2、数据库权限做限制;3、使用 PrepareStatement等


通常我们正常的查询流程是这样的:



v2-398b985e473eeca1a35d417f5281cfca_b.jpg



那么我们来看一下黑客的思维


v2-98f50a4282af12027102ad0fd8f8c342_b.jpg


看完这两个流程,相信大家对SQL注入已经有了更深的理解,那么我们下面来看看常用测试的SQL注入语句


1、使用单引号及or关键字


我们来看看这个SQL语句:


SELECT * FROM Users WHERE Username='$username' AND Password='$password'


这个是正常的数据库查询语句,我们来针对上面的SQL语句进行分析,发现我们如果用username=1′or′1′=′1password=1’or’1’=’1 一样也能够进行查询了。


那么我们来进行代入引用,发现整个SQL查询语句就变成:SELECT * FROM Users WHERE Username='1' OR '1'='1' AND Password='1'OR '1'='1'


假设参数值是通过GET方法传递到服务器的,且域名为域名为xxx.com 那么我 那么我们的访问请求就是:


http://www.xxx.com/index.php?username=1‘%20‘%20or%20’1’%20=%20’1password=1’%20or%20’1’%20=%20’1


%20为空格


对上面的SQL语句作简单分析后我们就知道由于该语句永远为真,所以肯定会返回一些数据,在这种情况下实际上并未验证用户名和密码,并且在某些系统中,用户表的第一行记录是管理员,那这样造成的后果则更为严重。


那么我们来看看第二种测试语句。


2、使用括号


例如我们看下面的查询语句:


SELECT * FROM Users WHERE((Username='$username')AND(Password=MD5('$password')))


在这个例子中,存在两个问题,一个是括号的用法,还有一个是MD5哈希函数的用法。对于第一个问题,我们很容找出缺少的右括号解决,对于第二个问题,我们可以想办法使第二个条件失效。


我们在查询语句的最后加上一个注释符以表示后面的都是注释,常见的注释起始符是/*(在Oracle中是–),也就是说,我们用如下的用户名和密码:

username=1′or′1′=′1′))/∗username=1′or′1′=′1′))/∗password = foo


那么整条SQL语句就变为:


SELECT * FROM Users WHERE(( Username='1'or '1'='1'))/*')AND (Password=MD5('$password')))


那么URL的请求就会变为:


http://www.xxx.com/index.php?username=1‘%20‘%20or%20’1’%20=%20’1’))/*&password=foo


那么我们来看一下最后一种测试方式:3、Union查询SQL注入测试


利用Union可以连接查询,从而从其他表中得到信息,假设如下查询:


SELECT Name, Phone, Address FROM Users WHERE Id=$id


那么我们设置ID的值为:


$id =1 UNION ALL SELECT creditCardNumber,1,1 FROM CreditCarTable


那么整体的查询就会变为:


SELECT Name, Phone,Address FROM Users WHERE Id=1 UNION ALL SELECT creaditCardNumber,1,1 FROM CreditCarTable


这就能够查询到我们表里的所有数据了!

破壳野生喵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
web安全--数据库1
503 Serivice Unavailable
10-22 285
为什么要学习数据库数据库对于web安全而言,比重逐年减轻,但我们今天仍然要学习数据库,更多的是为了bypass时能够更好的利用漏洞。 对于web安全又如何学习数据库? 对于web安全的学习中,我们并不需要掌握大量的sql语法知识,专攻即可 数据库的相关概念 DATABASE(数据库) DBMS(数据库管理系统) DBA(数据库管理员) 数据库:数据(描述事物的符号记录)的仓库,并且...
【计算机网络】Web应用的安全问题——SQL注入原理及防御
戴陵FL的博客
10-03 1375
SQL注入原理及防御 文章目录SQL注入原理及防御一、SQL注入原理1.什么是SQL注入?2.SQL注入原理二、SQL注入的危害三、SQL注入的防御参数化查询 一、SQL注入原理 1.什么是SQL注入? 因为基本上每一个Web应用底层都需要使用数据库来保存所需的各种数据,与数据库交互的方式就是程序生成并向数据库提交一些SQL语句来完成数据的CRUD操作 那么一旦这些SQL语句被恶意篡改、被控制,攻击者在原有SQL语句上拼接上一些关键字,从而改变该SQL语句的愿意,从而使得SQL语句经数据库操作后变成攻击者
web开发与mysql数据库_10分钟了解Web开发中的数据库基本概念
weixin_39778393的博客
01-20 897
数据持久化掌握了Servlet/JSP技术,我们已经可以创建动态的Web应用了。除了动态的Web界面,一个有价值的Web应用必然需要进行数据存储,开发上我们一般称之为数据持久化(Data Persistence)。从业务功能的角度出发,简单的应用可以认为就是数据的增删改查。比如一个产品级的博客应用,最核心的功能就是对博客内容的创建、修改、删除和查询,而这些功能都离不开Web服务器背后的数据库系统。...
存储网站数据是web服务器的功能吗,web服务器中数据库作用是什么
weixin_29555609的博客
08-12 513
web服务器中数据库作用是什么 内容精选换一换应用在容器化改造前,您需要了解自身应用的运行环境、依赖包等,并且熟悉应用的部署形态。需要了解的内容如表1。Analysis Server:实现性能数据分析及分析结果呈现。Analysis Server模块介绍模块名功能Web BrowserWeb浏览器,用于操作交互和数据呈现。Web ServerWeb服务器,接收Web浏览器的请求,并触发Data ...
web数据库开发(1)
那么多的人,你要去哪里
10-23 857
不得不说,Javascript中闭包的特性非常强大和复杂。想要理解它,确实不是一件很容易的事情。但有时候,我们只需要知道它是个什么东西、用在什么情况下也就基本够了。就比如你用手机打电话,你不是非得知道信息是如何传送的一样。所以,对于闭包我一直保持着这样一种心态:知道它什么时产生的、有何特征、如何使用就够了。下面,对于闭包,我说3句话,或许有助于初次接触的同学加深理解:
24、Web攻防——通用漏洞&SQL注入&MYSQL跨库&ACCESS偏移
qq_55202378的博客
12-30 1051
脚本代码在与数据库进行数据通讯时(从数据库取出相关数据进行页面显示),使用预定义的SQL查询语句进行数据查询。能通过参数传递自定义值来实现SQL语句的控制,执行恶意的查询操作,例如查询数据库中的管理员账户密码。2. 像登录注册窗口,虽然URL中没有参数,但是这种登录注册,脚本代码肯定会与数据库进行交互,不然它怎么知道你是真用户还是假用户。不同用户的权限不同,也就是说不同权限的用户能够查询的表不一样。跨库注入:实现当前网站跨库查询其他数据库对应的网站数据。二、测试SQL注入的地方。以上版本:自带数据库
asp sql查询过滤空格_Web安全——数据库作用 & SQL注入重点常规操作!...
weixin_39526459的博客
11-11 37
给大家分享一下数据库作用,以及为什么要使用数据库!包括SQL注入重点常规操作!既然我们要了解并学习好SQL注入,就要了解一下数据库的基本概念,以及使用数据库作用和目的!那么我们就先来了解一下数据库的基本概念!数据库大致可以分为四点:1、数据(Data): 在计算机中,各种我们所看到的字母,文字,字符串,语音,图片视频等统称为数据2、数据库(DB)【Access、MYSQL、Oracle...
29、WEB攻防——通用漏洞&SQL注入&增删改查&盲注&延迟&布尔&报错
qq_55202378的博客
01-19 546
假如执行SQL语句的代码在flag.php,而index.php调用了flag.php这一文件,最好通过flag.php进行SQL语句注入,而不是直接构造数据发送给flag.php。常规的联合查询注入,因为页面有回显,所以可以通过回显来判断SQL语句执行成功了。若没有回显,则只能通过盲注来判断SQL语句是否执行成功(报错、时间、布尔)。概念:在注入过程中,获取的数据不能回显至前端页面,此时我们需要利用一些方法进行判断或尝试,这个过程被称为盲注。解决:常规的联合查询注入不行的情况。
网络安全威胁——SQL注入攻击
聚集机器学习、信息安全
04-04 8318
随着互联网的发展和普及,网络安全问题越来越突出。SQL注入(SQL Injection)攻击是其中最普遍的安全隐患之一,它利用应用程序对用户输入数据的信任,将恶意SQL代码注入到应用程序中,导致敏感信息泄露、数据损坏或删除及系统瘫痪,给企业和个人带来巨大损失。
SQL注入式攻击下的数据库安全——SQL Server下SQL注入攻击的有效防范.pdf
09-19
SQL注入式攻击下的数据库安全——SQL Server下SQL注入攻击的有效防范.pdf
Web安全SQL注入
01-21
SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。SQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库...
数据库SqlParameter 的插入操作,防止sql注入的实现代码
01-20
using System.Web;using System.Web.UI;using System.Web.UI.WebControls;using System.Text;using System.Data.SqlClient;using System.Data;using System.Configuration; namespace ParaMeter{ public partial
Google已经推出了Google VR SDK,
05-11
VR(Virtual Reality)即虚拟现实,是一种可以创建和体验虚拟世界的计算机技术。它利用计算机生成一种模拟环境,是一种多源信息融合的、交互式的三维动态视景和实体行为的系统仿真,使用户沉浸到该环境中。VR技术通过模拟人的视觉、听觉、触觉等感觉器官功能,使人能够沉浸在计算机生成的虚拟境界中,并能够通过语言、手势等自然的方式与之进行实时交互,创建了一种适人化的多维信息空间。 VR技术具有以下主要特点: 沉浸感:用户感到作为主角存在于模拟环境中的真实程度。理想的模拟环境应该使用户难以分辨真假,使用户全身心地投入到计算机创建的三维虚拟环境中,该环境中的一切看上去是真的,听上去是真的,动起来是真的,甚至闻起来、尝起来等一切感觉都是真的,如同在现实世界中的感觉一样。 交互性:用户对模拟环境内物体的可操作程度和从环境得到反馈的自然程度(包括实时性)。例如,用户可以用手去直接抓取模拟环境中虚拟的物体,这时手有握着东西的感觉,并可以感觉物体的重量,视野中被抓的物体也能立刻随着手的移动而移动。 构想性:也称想象性,指用户沉浸在多维信息空间中,依靠自己的感知和认知能力获取知识,发挥主观能动性,寻求解答,形成新的概念。此概念不仅是指观念上或语言上的创意,而且可以是指对某些客观存在事物的创造性设想和安排。 VR技术可以应用于各个领域,如游戏、娱乐、教育、医疗、军事、房地产、工业仿真等。随着VR技术的不断发展,它正在改变人们的生活和工作方式,为人们带来全新的体验。
基于51单片机的自动循迹、蓝牙遥控,超声波避障的智能小车+全部资料+详细文档(高分项目).zip
05-11
【资源说明】 基于51单片机的自动循迹、蓝牙遥控,超声波避障的智能小车+全部资料+详细文档(高分项目).zip基于51单片机的自动循迹、蓝牙遥控,超声波避障的智能小车+全部资料+详细文档(高分项目).zip基于51单片机的自动循迹、蓝牙遥控,超声波避障的智能小车+全部资料+详细文档(高分项目).zip 【备注】 1、该项目是个人高分项目源码,已获导师指导认可通过,答辩评审分达到95分 2、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 3、本项目适合计算机相关专业(人工智能、通信工程、自动化、电子信息、物联网等)的在校学生、老师或者企业员工下载使用,也可作为毕业设计、课程设计、作业、项目初期立项演示等,当然也适合小白学习进阶。 4、如果基础还行,可以在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 欢迎下载,沟通交流,互相学习,共同进步!
整合了在Unity开发过程中自主开发的实用代码,如摄影机操作,角色操作,控制器交互等。涵盖3D游戏到VR领域。.zip
05-11
VR(Virtual Reality)即虚拟现实,是一种可以创建和体验虚拟世界的计算机技术。它利用计算机生成一种模拟环境,是一种多源信息融合的、交互式的三维动态视景和实体行为的系统仿真,使用户沉浸到该环境中。VR技术通过模拟人的视觉、听觉、触觉等感觉器官功能,使人能够沉浸在计算机生成的虚拟境界中,并能够通过语言、手势等自然的方式与之进行实时交互,创建了一种适人化的多维信息空间。 VR技术具有以下主要特点: 沉浸感:用户感到作为主角存在于模拟环境中的真实程度。理想的模拟环境应该使用户难以分辨真假,使用户全身心地投入到计算机创建的三维虚拟环境中,该环境中的一切看上去是真的,听上去是真的,动起来是真的,甚至闻起来、尝起来等一切感觉都是真的,如同在现实世界中的感觉一样。 交互性:用户对模拟环境内物体的可操作程度和从环境得到反馈的自然程度(包括实时性)。例如,用户可以用手去直接抓取模拟环境中虚拟的物体,这时手有握着东西的感觉,并可以感觉物体的重量,视野中被抓的物体也能立刻随着手的移动而移动。 构想性:也称想象性,指用户沉浸在多维信息空间中,依靠自己的感知和认知能力获取知识,发挥主观能动性,寻求解答,形成新的概念。此概念不仅是指观念上或语言上的创意,而且可以是指对某些客观存在事物的创造性设想和安排。 VR技术可以应用于各个领域,如游戏、娱乐、教育、医疗、军事、房地产、工业仿真等。随着VR技术的不断发展,它正在改变人们的生活和工作方式,为人们带来全新的体验。
基于GPT-SoVITS的视频剪辑快捷配音工具.zip
05-11
基于GPT-SoVITS的视频剪辑快捷配音工具 GPT, 通常指的是“Generative Pre-trained Transformer”(生成式预训练转换器),是一个在自然语言处理(NLP)领域非常流行的深度学习模型架构。GPT模型由OpenAI公司开发,并在多个NLP任务上取得了显著的性能提升。 GPT模型的核心是一个多层Transformer解码器结构,它通过在海量的文本数据上进行预训练来学习语言的规律。这种预训练方式使得GPT模型能够捕捉到丰富的上下文信息,并生成流畅、自然的文本。 GPT模型的训练过程可以分为两个阶段: 预训练阶段:在这个阶段,模型会接触到大量的文本数据,并通过无监督学习的方式学习语言的结构和规律。具体来说,模型会尝试预测文本序列中的下一个词或短语,从而学习到语言的语法、语义和上下文信息。 微调阶段(也称为下游任务训练):在预训练完成后,模型会被应用到具体的NLP任务中,如文本分类、机器翻译、问答系统等。在这个阶段,模型会使用有标签的数据进行微调,以适应特定任务的需求。通过微调,模型能够学习到与任务相关的特定知识,并进一步提高在该任务上的性能。 GPT模型的优势在于其强大的生成能力和对上下文信息的捕捉能力。这使得GPT模型在自然语言生成、文本摘要、对话系统等领域具有广泛的应用前景。同时,GPT模型也面临一些挑战,如计算资源消耗大、训练时间长等问题。为了解决这些问题,研究人员不断提出新的优化方法和扩展模型架构,如GPT-2、GPT-3等,以进一步提高模型的性能和效率。
node-v4.3.0-linux-arm64.tar.xz
最新发布
05-11
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
mysql数据库安全防护sql注入
06-13
SQL注入攻击是利用Web应用程序没有对用户输入的数据进行充分验证过滤,直接将用户输入的数据拼接到SQL语句中执行,从而导致数据库被攻击者非法访问或者非法修改。 为了防止SQL注入攻击,我们可以采取以下措施: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值