SQL注入漏洞

最新推荐文章于 2024-01-15 09:41:43 发布
最新推荐文章于 2024-01-15 09:41:43 发布
阅读量214 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44749329/article/details/88621952
版权

什么是SQL呢

SQL是Structured Quevy Language(结构化查询语言)的缩写。SQL是专为数据库而建立的操作命令集,是一种功能齐全的数据库语言。在使用它时,只需要发出“做什么”的命令,“怎么做”是不用使用者考虑的。SQL功能强大、简单易学、使用方便,已经成为了数据库操作的基础,并且现在几乎所有的数据库均支持SQL。

  • SQL数据库数据体系结构
    1.一个SQL数据库是表(Table)的集合,它由一个或多个SQL模式定义。
    2.一个SQL表由行集构成,一行是列的序列(集合),每列与行对应一个数据项。
    3.一个表或者是一个基本表或者是一个视图。基本表是实际存储在数据库的表,而视图是由若干基本表或其他视图构成的表的定义。
    4.一个基本表可以跨一个或多个存储文件,一个存储文件也可存放一个或多个基本表。每个存储文件与外部存储上一个物理文件对应。
    5.用户可以用SQL语句对视图和基本表进行查询等操作。在用户角度来看,视图和基本表是一样的,没有区别,都是关系(表格)。

sql注入漏洞

  • 简介
    SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。说白了就是在你输入数据的时候,不违背你的语法,给你创造出一些新的条件,让你完成另外一些事情
  • SQL注入流程
  1. 首先,我们用Sql server 创建一个geek的数据库.,再创建一个"表_登录",以及字段和数据.
    在这里插入图片描述
    在这里插入图片描述

创建一个C#语言Windows窗体程序.
在这里插入图片描述

创建一个和我图片差不多的界面. 其中最大的文本框里面放的我们当前执行的sql语句.
在这里插入图片描述
//以下代码是点击按钮登录之后执行的代码
tring 连接字符串 = @“server=.;database=geek;Integrated Security=true”;
string sql = “select count(*) from 表_登录 where 用户名=’” + textBox_用户名.Text + “’ And 密码=’” + textBox_密码.Text + “’;”;

            int count;
            using (SqlConnection 连接对象 = new SqlConnection(连接字符串))
            {
             using (SqlCommand 执行对象 = new SqlCommand(sql, 连接对象))
               {
                 连接对象.Open();
                 count = (int)执行对象.ExecuteScalar()
                }
             }
              textBox_sql.Text = sql;
              if (count > 0)
                {
                  MessageBox.Show("登录成功");
                 }
              else
                 {
                 MessageBox.Show("用户名或密码错误");
                  }

在这里插入图片描述
我们先输入错误的账号密码,看一下代码执行结果是登录失败.在这里插入图片描述
我们再输入一下正确的帐号和密码是可以登录成功的.
在这里插入图片描述
select count(*) from 表_登录 where 用户名=‘sql注入漏洞’ And 密码=‘1’ or ‘1’=‘1’;
关键的地方来了,我们这次再输入一个错误的账号和密码,但是软件却可以显示登录成功.大家仔细观察sql语句,就不难发现,这是为什么会出现这样的结果了.
在这里插入图片描述
这就是由于用户刻意输入,使字符串拼接的sql语句有了新的意义,和原来的sql语句意义完全不一样了.密码应该是sql的值,但却成为了sql语句的条件.我们要杜绝这种情况,就是要让客户输入的变成值,从而避免发生这种问题!

布丁^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入漏洞
03-24
:简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻 击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注 入攻击检测的方法,并在此基础上给出了一种基于客户端和服务器端的SQL注入攻击的防御模 型,经过测试表明该模型的计算时间复杂度低,具有安全性和通用性,解决了网络中存在的SQL注 入攻击问题。
[网络安全学习篇54]:SQL注入
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-29 6251
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学...
SQL注入:报错型盲注利用的BUG #8652详解
无名J0kзr的博客
02-04 750
文章目录参考BUG #8652影响版本复现餐前准备正餐用途 参考 原理参考 mysql-bug #8652 BUG #8652 BUG 8652的主要内容就是在同时使用RAND()函数,聚集函数COUNT()和GROUP BY子句进行操作时会返回duplicate key 错误,而这个错误将会披露关键信息,如 “Duplicate entry ‘####’ for key 1” 这里的####正是...
sql注入——bugku
weixin_34417814的博客
07-12 214
刚刚做了bugku的题目,现在整理一下 写出解题思路,希望能够帮助到那些需要帮助的人 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找, 希望你们不要责怪!!共勉!!! 永远爱你们的————新宝宝 Challenge 1345 Solves sql注入 50 http://103.238.2...
sql注入漏洞的一种实例
一点
10-27 3424
在做毕业设计的时候,竟然碰到了一中叫sql注入漏洞的现象。   当笔者用一条sql语句查询时,select * from users where username='zf' and passwd='zf' or 1='1'   竟然将所有的数据全都查了出来。   检查用户合法性的代码如下: //检查用户的合法性 public boolean checkUser(String u,Str
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
通达OA sql注入漏洞.zip
08-24
然而,就像许多其他复杂的软件系统一样,它可能存在安全漏洞,其中之一就是SQL注入漏洞SQL注入是网络安全中的一个常见问题,允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库,获取敏感信息,甚至完全控制...
CmsEasy crossall_act.php SQL注入漏洞.md
最新发布
04-08
### SQL注入漏洞知识点 1. **SQL注入概念** SQL注入(SQL Injection)是一种攻击技术,攻击者通过在Web表单输入或通过修改URL查询字符串来插入恶意的SQL代码,一旦网站应用未进行适当的输入验证或对用户输入的代码...
CSZ CMS 1.2.X sql注入漏洞
09-07
CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 ## 二、漏洞影响 CSZ CMS ...
YXcms-含有SQL注入漏洞的源码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的源码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
C#防SQL注入
09-17
C#防SQL注入,主要是程序上有漏洞, 尽可能全的过滤SQL敏感的语句, 先把数据库里面注入的代码替换掉
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
学习代码 ASP.Net C# SQL注入 跨脚步漏洞 案例
SQL注入(三)#sql注入 bugku
pumpkin9
04-12 1167
宽字节注入 原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个 汉字(前一个 ascii码大于 128 才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思 路是将 ‘ 转换为 \’ (转换的函数或者思路会在每一关遇到的时候介绍)。 因此我们在此想办法将 ‘ 前面添加的 \ 除掉,一般有两种思路: 1、%df 吃掉 \ 具体的原因是 urlen...
SQL注入漏洞补丁asp版
weixin_34390996的博客
11-16 333
以下代码是网上流行的枫叶防SQL注入通用版的代码,我在原来的基本上去掉一些内容,使之简单化.以代码拷进记事本,另存为asp文件。然后在数据库连接文件那里加上包含代码就行了,例如:<!-- #i nclude file="文件名" -->以下是代码<%'--------定义部份------------------Dim Fy_Post,F...
C#编写程序操作数据库如何防止SQL注入漏洞的发生
weixin_34081595的博客
09-22 309
为什么80%的码农都做不了架构师?>>> ...
SQL 注入漏洞
weixin_52345129的博客
01-15 513
SQL 注入漏洞,就是通过把 SQL 命令插入到URL地址、Web 表单提交或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的 SQL 命令。漏洞成因是程序没有对用户输入的内容进行安全检查,直接代入数据库进行查询,导致了 SQL 注入的发生。目前常见的 SQL 注入的攻击方式有报错注入、普通注入、隐式类型注入、盲注、宽字节注入、二次解码注入。
SQL注入漏洞详解
m0_56822024的博客
07-08 9347
SQL注入漏洞主要形成的原因是Web应用程序对用户的输入没有做严格的判断,导致用户可用将非法的SQL语句拼接到正常的语句中,被当作SQL语句的一部分执行。
SQL注入漏洞详解与实战教程
本资源是一份关于Web渗透测试入门的教程,重点讲解了SQL注入漏洞的相关知识。SQL注入漏洞是Web安全领域的一个严重威胁,它发生在黑客通过恶意构造SQL语句,利用应用程序处理用户输入时的不当过滤或转义,获取、修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值