OWASP 系列之注入漏洞(下)
摘要
上一期,我们介绍了注入漏洞中常见的 SQL 注入漏洞,主要内容是以 MySQL 为例介绍了 SQL注入的基本原理,并举例了几个常见的注入手法与原理。本期我们来介绍其他的一些注入手法与原理、
SQL injection
接上期
检查数据库信息
检查数据库类型与版本
我们习惯上简称为数据库管理系统为数据库,对于数据库管理系统来说分很多类型,每一种查询方法都不一样。
常见的数据库类型有
- Microsoft
- MySQL
- Oracle
- PostgreSQL
不同数据库的查询版本的方法
数据库 | 查询版本方法 |
---|---|
Oracle | select banner from v v e r s i o n < b r / > s e l e c t v e r s i o n f r o m v version<br />select version from v version<br/>selectversionfromvinstance |
Microsoft | select @@version |
PostgreSQL | select version() |
MySQL | select @@version select version() |
检查数据库的结构
对于 MySQL 来说,所有的数据库信息都保存在一个名叫 information_schema 的数据库中,基本结构是下面这样的。
mysql 版本 >= 5.0
让我们来看看真实的保存信息
information_schema 数据库与我们关心的几个表