sql注入基础(一)

最新推荐文章于 2024-07-19 12:37:36 发布
最新推荐文章于 2024-07-19 12:37:36 发布
阅读量576 收藏 10
点赞数 13
分类专栏: 网络安全 文章标签: sql 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46729014/article/details/137401488
版权
本文详细介绍了SQL注入的概念,包括如何区分字符型和数字型注入,以及通过URL编码和判断闭合符号来确定攻击方式。还提供了靶场下载资源sqli-labs的链接以供学习实践。
摘要由CSDN通过智能技术生成

sql注入目录

靶场下载

sqli-labs下载

链接:
https://github.com/Audi-1/sqli-labs

sql注入

什么是sql注入

所谓SQL注入,就是通过把SQL命令插入到WEB表单提交或输入域名或页面请求的查询字符串,最终到达欺骗服务器执行恶意的SQL命令,从而进一步得到相应的数据信息。

sql注入分类

在这里插入图片描述
在这里插入图片描述

判断是字符型注入还是数字型注入

在链接后面用给的方法查看?id=1判断
但不能简单的看到数字则认为是数字型,毕竟字符型包含数字
在这里插入图片描述
当我们输入?id=2是我们发现内容有所改变
在这里插入图片描述
此时我们输入?id=1 and 1=2
在这里插入图片描述
发现没有报错,我们可以判断该页面为字符型
反之报错则认为该页面为数字型,因为and判断必须前后都为true否则返回false
我们现在尝试数字型页面会发生什么
在这里插入图片描述
我们可以看到页面并没有返回值,则该页面为数字型页面
第二种判断数字型页面的方法是用数学符号判断
在这里插入图片描述
此时我们输入?id=2-1我们得到的结果与?id=1结果相同,此时id=2-1的结果为1,则返回值为1,字符型无法进行数字运算。在判断过程中我们应尽量使用减号进行运算,URL 编码通常使用加号(+)或 %20 替代空格,解码的时候会把+解码成空格

判断闭合方式

常见符号有’ " ‘) ")
输入?id=1’"报错多一个‘则闭合符号为单引号( ’ )
输入?id=1’"报错为near 1’“)多一个‘)则闭合符号为’)
判断闭合方式会导致sql报错,此时我们可以用‘–+’或‘#’或‘%23’注释掉
#与–+两者均为sql中注释语句,不运行后方的代码
%23则是urlencode编码格式

脚底儿
关注
  • 13
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入闭合方式
qq_67667368的博客
03-31 2163
由于系统没有对输入的数据进行过滤、检测,就带入到数据库中执行SQL语句,那么当用户输入一条恶意的数据,使其与原SQL语句拼接、重组得到一条恶意的SQL语句,当数据库执行这条恶意的SQL语句时,就会把数据库中的信息暴露出来,从而泄露信息。MYSQL数据库的包容性比较强,如果你输错了数据的类型,MYSQL数据库会自动将其转换成正确的数据类型,比如输入1)、1"、1-等,只要数字后面的字符不是闭合符的,数据库都会把你输入的错误的数据转换成正确的数据类型。
超全的SQL注入姿势总结
记录学习,一起进步
01-12 1416
超全的SQL注入姿势总结
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
sql注入基础(ctfhub sql注入
kofi的博客,已停更
08-15 753
(持续更新中)sql注入基础0x00 前言 0x00 前言 这两天在CTFHub上练题,刚好练到了SQL注入这个之前我一直也不是很懂,这回一做发现其中大有玄妙,所以就一起写个小总结。 CTFhHub:https://www.ctfhub.com/#/index 上面这张图是CTFHub的SQL注入技能树 ...
sql注入初理解
weixin_38631547的博客
03-21 74
mysql的小知识 sql注入之mysql类型数据库结构,mysql中自带4个数据库A. information_schemaB. mysqlC. performance_schemaD. sys 2.在5.6版本mysql中最后的sys更改为test 3.mysql中的特殊库information_schema information_schema数据库是MySQL自带的,它提供了访问数据库元数...
SQL注入基础.pdf
07-05
介绍SQL注入的原理,常见入侵与防御方式,手工注入或者工具注入
SQL注入基础知识
01-18
SQL注入基础知识的学习,可以对你有很大的帮助,避免在开发过程中出现更多的安全问题
SQL注入 基础
04-30
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL 注入天书.pdf
08-06
总的来说,《SQL注入天书》及配套的sqli-labs提供了全面的SQL注入学习路径,从基础到高级,从理论到实践,有助于安全专业人士和开发人员增强对这一重要安全威胁的理解和应对能力。通过深入学习和实践,可以有效地...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
PostgreSQL 中如何解决因大量并发删除和插入操作导致的索引抖动?
技术笔记
07-17 914
索引抖动是 PostgreSQL 中一个常见的问题,它会对数据库的性能产生严重的影响。通过采用批量操作、分区表、索引优化和调整数据库参数等方法,我们可以有效地解决索引抖动问题,提高数据库的性能和稳定性。在实际应用中,我们应该根据具体情况选择合适的解决方案,并不断地进行优化和调整,以满足业务的需求。解决索引抖动问题就像是一场战斗,我们需要根据敌人(问题)的特点和弱点,选择合适的武器(解决方案),并灵活运用战术(优化方法),才能取得最终的胜利。
PostgreSQL异常:An I/O error occurred while sending to the backend
最新发布
IT后浪的博客
07-19 353
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
接口开发:Orcal数据库的批量新增sql
qq_65032048的博客
07-17 798
场景:在日常的CURD中一定会用到批量新增。在我们的项目中,使用的数据库是Orcal,由于之前基本都是使用Mysql的,使用的sql语句也基本都是用mysql的。但是在这次的接口编写时用mysql的批量新增出了问题,刚开始我还以为是写的动态sql有问题,在后续的问题修改也主要是对动态sql修改,因此也浪费了大量的时间,在后续把sql搬到数据库运行一下后才发现是sql的问题,同时也了解到了mysql和orcal 也是有很多地方是不同的。
SQL每日一题:查找重复的电子邮箱
xiongxiaoxuan的博客
07-17 382
编写解决方案来报告所有重复的电子邮件。请注意,可以保证电子邮件字段不为 NULL。以 任意顺序 返回结果表。按照email分组计数,筛选出数量>1的email。(需注意分组计数时一定要记得用group by)此表的每一行都包含一封电子邮件。电子邮件不包含大写字母。id 是该表的主键(具有唯一值的列)。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
hackeroink的博客
07-15 1223
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
怎样在 PostgreSQL 中实现数据的异地备份?
技术笔记
07-19 1087
总而言之,在 PostgreSQL 中实现数据的异地备份不是一件难事,但也需要我们认真对待,精心规划。选择合适的备份方法和异地存储方式,制定合理的备份策略,定期进行测试和恢复演练,才能确保我们的数据在任何情况下都能“安然无恙”。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
sqlalchemy定期保持mysql连接活跃
ithongchou的博客
07-18 3082
数据库时,确保保持活跃连接是很重要的,特别是在长时间不使用数据库连接时。使用连接池管理数据库连接。通过配置合适的连接池参数可以有效地保持活跃连接。,以保持连接的活跃状态。这可以通过任务调度库如。(超出连接池大小时允许创建的额外连接数)和。(连接在被放回连接池前的最大生存时间)等。查询,保持数据库连接的活跃状态。可以定期执行简单的查询,例如。这个例子会每隔一段时间执行。
【PostgreSQL】Windows 上安装 PostgreSQL 16版本
No8g攻城狮的博客
07-17 2086
✌全网粉丝20W+,CSDN博客专家、Java领域优质创作者,掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域✌。
如何查询Oracle数据库一周内每天的SQL执行次数
weixin_60783132的博客
07-18 827
今天引入的问题是:oracle数据库怎么查询一周内,每天的查询次数?数据库的AWR报告会记录SQL的执行情况,可以从DBA_HIST_SNAPSHOT、在DBA_HIST_SQLSTAT这两个视图通过快照 id join一下得到记录了系统七天内Oracle数据库SQL执行次数。如果有异常,再去分析问题。如果某一条SQL执行异常,需要做分析,怎么找出这条SQL文本。
SQL注入基础:解析Access数据库的注入技术
"SQL注入基础教程,讲解了SQL注入的概念、危害以及如何进行基本的注入测试。" 在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序处理用户输入数据时的疏忽,攻击者可以在Web应用程序中插入恶意的SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值