数据库-SQL 注入和语句分类和数据类型

最新推荐文章于 2024-07-19 00:12:38 发布
最新推荐文章于 2024-07-19 00:12:38 发布
阅读量284 收藏
点赞数 1
文章标签: 数据库 sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48206782/article/details/127206476
版权

SQL 注入

  • 用户往输入值的地方输入了 SQL 语句,导致原有 SQL 语句的逻辑发生改变,这个过程称为

    SQL 注入

  • 通过 PreparedStatement 带有预编译效果的执行 SQL 语句的对象,解决 SQL 注入问题

  • 如何解决?

    • 使用 PreparedStatement,将编译 SQL 语句的时间点提前到创建对象时,此时编译用户输

      入的内容还没有在 SQL 语句中, 编译后可以理解为将 SQL 语句的逻辑锁死, 用户输入的

      内容只能以值的形式添加到原有 SQL 语句中,这样将不再影响原有 SQL 语句的逻辑,从

      而避免了 SQL 注入的问题

SQL 语句分类

  • DDL: 数据定义语言 包括数据库相关和表相关的 SQL 语句

  • DML: 数据操作语言,包括增删改查.

  • DQL: 数据查询语言,包括查询相关

  • TCL: 事务控制语言,和事务相关的 SQL 语句.

  • DCL:数据控制语言, 指用户相关和权限分配相关

数据类型

  • 整数: int 和 bigInt bigInt 等效 Java 中的 long
  • 浮点数: double(m,d) m 代表总长度 d 代表小数长度 , 25.444 m=5 d=3
  • 字符串
    • char(m): 固定长度, m=5 存"abc" 占 5 个 最大长度 255
    • varchar(m): 可变长度,m=5 存"abc" 占 3 个 最大长度 65535 内容少的用 varchar
    • text(m):可变长度 最大长度 65535 内容长的用 text
  • 时间类型
    • date:只能保存年月日
    • time:只能保存时分秒
    • datetime:年月日时分秒,默认为null,最大值9999-12-31
    • timestamp:(时间戳,通过保存距离1970年1月1日的毫秒数来实现时间记录的):年月日时分秒;默认值为当前系统时间,最大值2038-1-19
小小编码
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库 -- SQL注入攻击
_天涯__的博客
12-07 1586
SQL注入攻击_百度百科 概念 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入攻击属于数据库安全攻击手段之一,可以通过数...
墨者靶场-SQL手工注入漏洞测试(MySQL数据库-字符型)
weixin_46694260的博客
03-27 3906
0x00 前言 我们都知道,SQL注入分数字型和字符型,我们上次讲的是最基本的数字型SQL注入,这次我们就来讲最基本的字符型SQL注入。同样,如果是明白原理和方法的话,看懂这篇文章并不难,但是如果不清楚原理和方法的话…还是可以看的,大家多多给我点赞吧,哈哈哈哈哈,还是那句话,菜鸟一个,大佬勿喷~ 0x01 过程 首先,还是老样子,我们先看一下题目 这里通过题目我们知道,这次SQL注入是字符型的SQL注入 那我们就进入靶场环境 可以看到和上次一样,有一个登录系统,登录框下面有一个维护新闻轮播框 我们点进去
SQL注入学习之路
0xcc'Blog
03-25 271
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,加之现阶段的程序员越来越多,信息网络化程度也不断提高,网络使用率也随之大大提高。程序员的质量也不断提高。如此使应用程序存在安全隐患率堪忧。SQL 的普及率使一些恶意或者是出于某些意图而更改用户可以提交一段数据库查询代...
系列2:6、sql注入数据类型与提交方式
qq_44704184的博客
03-30 1929
一、 数据类型 1、数字型注入点人。 许多网页链接有类似的结构http://xox.com/users.php?id=1基于此种形式的注入,一般被叫做数字型注入点,缘由是其注入点 id类型为数字,在大多数的网页中,诸如查看用户个人信息,查看文章等,大都会使用这种形式的结构传递id等信息,交给后端,查询出数据库中对应的信息,返回给前台。这一类的SQL语句原型大概为 select * from表名 where id=1若存在注入,我们可以构造出类似与如下的sq注入语句进行爆破: select * from表名w
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL注入-01】SQL语句基础及SQL注入漏洞原理及分类
m0_64378913的博客
04-23 5660
目录1 SQL注入概述1.1 SQL注入简介1.2 SQL注入原理(掌握)1.3 SQL注入漏洞的危害(掌握)2 SQL注入漏洞分类2.1 注入位置分类(掌握)2.2 注入数据类型分类(掌握)2.3 注入手法分类(掌握)3 SQL语句基础3.1 简介3.2 注释3.3 MySQL数据库 information_schema 内容简介3.4 MySQL 常用函数4 总结参考文献 1 SQL注入概述 1.1 SQL注入简介 定义:SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传
渗透测试-SQL注入
weixin_53696027的博客
02-05 2357
sql注入是渗透测试重要的一部分,如果服务器存在sql注入漏洞将面临严重的威胁
常见sql注入语句和xss注入语句
小白博客
12-22 2878
1 and 1=1 或者1' and '1'='1 判断注入的类型 1 order by 1,2,3,4 数字类型为例;判断当前表存在多少个属性字段1' union select 1,table_name from information_schema.tables where table_schema=database()# 通过占位获取的数据库名 去MySQL的元数据表information_schema中查表名1' union select 1,c...
Web安全测试常见漏洞-SQL注入和命令注入
m0_57098592的博客
09-02 1649
Web安全测试常见漏洞-SQL注入和命令注入
【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。
m0_67844671的博客
10-01 2024
sql注入】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程;
SQL注入漏洞发现和数据库监控系统.zip
05-27
通过结合使用MySQLMTOP这样的数据库监控系统和正确的SQL注入防护措施,可以显著提高数据库的安全性,并降低因SQL注入攻击导致的数据泄露风险。因此,对于任何涉及用户输入的Web应用,都需要重视SQL注入的防范工作,...
10-sql注入-mysql注入1
08-03
- `ORDER BY`和`UNION`查询用于探测列的数量和数据类型。 - `GROUP_CONCAT()`函数用于合并多个行的结果,便于信息泄露。 6. **MySQL 4.0与5.0的渗透差异**: MySQL 4.0没有`information_schema`数据库,而在5.0...
自动化的SQL注入数据库接管工具使用说明
06-26
1. 扫描、发现并利用SQL注入漏洞:SQLmap能够自动化地检测目标URL是否存在SQL注入漏洞,并尝试利用这些漏洞获取数据库服务器的权限。 2. 数据库指纹识别:SQLmap能够识别目标数据库的类型和版本,支持多种数据库管理...
web-其他注入和二次注入
07-15
在这个案例中,攻击者首先通过以下语句判断数据类型、列数: ```sql ?id=1' AND 1=2 ORDER BY 3-- ``` 然后,他们使用堆叠注入执行不同的查询,例如获取数据库名、数据表、字段以及读取数据: - 获取数据库名:`?...
三种数据库SQL 注入详解
08-03
SQL 注入是指攻击者通过构建特殊的输入作为参数传入 Web 应用程序,而这些输入大都是 SQL 语法里的组合,通过执行 SQL 语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据...
MySQL(事务、索引)&&MyBatis
最新发布
hycccccch的博客
07-19 458
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 201
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
Spring框架之DI依赖注入
G81948577的博客
07-18 577
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm框架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
深入 Dify 源码,洞察 Dify RAG 核心机制
易迟的专栏
07-17 1117
之前深入源码对 Dify 的完整流程进行了解读,基本上梳理了 Dify 的实现流程与主要组件。但是在实际部署之后,发现 Dify 现有的 RAG 检索效果没有那么理想。因此个人结合前端页面,配置信息与实现流程,深入查看了私有化部署的 Dify 的技术细节。将核心内容整理在这边,方便大家根据实际的业务场景调整 Dify 知识库的配置,或者根据需要进行二次开发调优。
SQL注入详解:原理、危害与分类
\n\nSQL注入按照数据类型主要分为数字型和字符型两类。数字型注入发生在用户输入的数据被当作数值处理时,不被引号包围。而字符型注入则是输入的数据在SQL语句中被视为字符串,通常会被引号包围。每种类型的注入都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值