sql注入重要基础梳理

已于 2022-02-18 15:38:06 修改
阅读量668 收藏
点赞数
分类专栏: web安全-sql注入 文章标签: sql mysql 数据库
于 2022-02-15 09:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54217950/article/details/122936700
版权

重要基础知识梳理

常用函数总结

version()				# mysql 数据库版本
database()				# 当前数据库名
user()					# 用户名
current_user()			# 当前用户名
system_user()			# 系统用户名
@@datadir				# 数据库路径
@@version_compile_os	# 操作系统版本

mysql函数

length()
功能:以字节为单位返回字符串长度。
语法格式:length(str)

在这里插入图片描述

if()
功能:条件判断。
语法格式:if(expr1,ture,false):结果为真,返回第二个数据,反之返回第三个数据
注:仅仅mysql支持if(expr1,expr2,expr3)
在这里插入图片描述
substr() substring()
功能:从指定位置开始,截取字符串指定长度。
语法格式:substra(str,pos)或substr(str,pos,len),substring(str,pos)或substring(str,pos.len)
参数说明:
str:提取字串的字符串
pos:提取字串开始位置
len:提取字串的长度
在这里插入图片描述
ascii(),ord()
功能:返回字符串左边字符的ASCII码值
语法格式:ascii(str),ord(str)
在这里插入图片描述
sleep()
功能:延时函数,让语句执行一段时间,执行成功后返回0.
语法格式:sleep(N),延时执行N秒。
在这里插入图片描述
rand()
功能:可以产生一个在0和1之间的随机数。**
语法:rand()
在这里插入图片描述


eft()			        # 从左侧开始取指定字符个数的字符串
concat()	     	   	# 没有分隔符的连接字符串
concat_ws()      		# 含有分割符的连接字符串
group_conat()   		# 连接一个组的字符串
hex()					# 将字符串转换为十六进制
unhex()					# hex 的反向操作
md5()					# 返回MD5 值
floor(x)				# 返回不大于x 的最大整数
round()					# 返回参数x 接近的整数
load_file()				# 读取文件,并返回文件内容作为一个字符串
find_in_set()			# 返回字符串在字符串列表中的位置
benchmark()				# 指定语句执行的次数

数据库知识

information_schema		# 重要的数据库

SCHEMATA表(提供了关于数据库的信息):
schema_name列,这里面存放了所有数据库名称

COLUMNS表(给出了表中的列信息):
所有列名值对应列column_name,
所有数据库名值对应列table_schema,
所有表名值对应table_name列

TABLES表:给出了关于数据库中的表的信息
所有数据库名值对应列table_schema,
所有表名值对应table_name列,
不会就跑路的小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入常用函数
刘启明
06-09 4578
mid()函数 SELECT MID(ColumnName, Start [, Length]) 从指定字段中提取出字段的内容 column_name:字段名 start:开始位置 length:长度 实例 Persons 表: Id LastName FirstName Address City 1 Adams John Oxford Street 2 Bush George...
梳理SQL注入资料,相当全
07-04
了解和掌握这些技术,对于安全测试和防御SQL注入攻击至关重要。在实际应用中,开发者应当采取参数化查询、预编译语句、输入验证等措施,防止SQL注入攻击的发生。同时,网站管理员应定期进行安全审计,及时修复可能...
SQL注入用到的SQL函数
m0_61368098的博客
08-19 2254
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。应用程序使用用户输入的内容来构造动态sql语句以访问数据库,恶意用户通过提交恶意sql语句拿到网站数据库中所有的数据。联合查询时,常为显示位不足的问题困扰,数据多的话一个一个查工作量大,主要是效率低,而连接函数就可以解决这个问题。)不然执行不了,在注入时这个分号是不用加的。报错注入需要用到的函数-----------floor。查询结果正确,返回1,查询结果错误,返回0。
sql注入常用函数
weixin_41489908的博客
11-18 3139
​当所有情绪都堆在一起的时候,才发现自己已经不是那个一块糖就能开心的小孩子了。。。 ---- 网易云热评 一、MySql注入常用函数 1、system_user()系统用户名 2、user()用户名 3、current_user()当前用户名 4、session_user()链接数据库的用户名 5、database()数据库名 6、version()数据库版本 7、@@datadir数据库路径 8、@@basedir数据库安装路径 9、@@version_conpile_os操作系统.
SQL注入中常见的函数_sql注入常见函数
最新发布
2301_77033340的博客
04-12 1024
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
SQL注入常用函数及子句等
无名J0kзr的博客
01-29 521
文章目录说明%23和--+ORDER BYUNIONGROUP_CONCAT 说明 本文为此系列博客的配餐 Web安全-SQL注入MySQL注入天书(0) %23和–+ SELECT * FROM users WHERE id='$id' LIMIT 0,1 都用于注释掉后面的单引号 %23其实就是URL编码后的 # 即SQL语句中的注释符 ORDER BY 格式 SELECT field1,...
sql注入常见函数(附图详解)
君莫hacker的博客
09-23 7805
目录0x01 mysql数据库基本函数0x02 union联合注入函数函数concat()函数concat_ws()函数group_concat()0x03 sql盲注函数1. 布尔盲注函数函数length()函数left()与函数right()函数substr()函数mid()函数ascii()函数ord()2. 时间盲注函数函数sleep()函数if()0x04 报错注入函数函数floor()函数exp()函数updatexml()函数extractvalue()0x05 读写文件函数 0x01 mys
sql注入 黑客攻击 白帽子讲web安全
08-03
常见攻击:SQL注入,XSS(跨站脚本攻击) “破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方法,是克服某种攻击方法,而并非抵御单次的攻击。比如设计一个解决方案,在特定环境下能够抵御所有...
基于攻击反馈模型的SQL注入漏洞渗透测试方法.pdf
01-04
SQL注入漏洞的检测是网络安全测试中的一项重要任务。然而,传统的SQL注入漏洞检测方法存在一些问题,如检测准确度不高、检测效率不高等。 本文提出的方法基于攻击反馈模型,该模型可以模拟攻击者的行为,检测漏洞的...
GetSqlFromCode(从代码中获取Sql字符串的工具).zip
12-18
1. **代码审计**:检查代码中是否存在潜在的安全风险,如SQL注入漏洞。 2. **性能优化**:找出运行时间较长的SQL语句,进行优化,提升系统性能。 3. **版本控制**:在版本更新时,统一管理SQL语句,确保数据库迁移的...
嵌入式SQL基本概念思维导图[xmind格式]
02-06
此外,正确处理SQL注入和权限控制对于保证系统安全至关重要。 总之,嵌入式SQL是将数据库操作无缝集成到高级语言程序中的强大工具,它提供了一种高效、直观的方式来处理数据。在学习和使用嵌入式SQL时,理解其基本...
注入——sql注入命令
weixin_55404107的博客
10-16 1714
sql注入—简单理解
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 3万+
一些概念:SQL:用于数据库中的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
MySQL命令\注入
weixin_46928280的博客
07-25 1457
使用MySQL从建库、建表,对数据的增删改查,删库、删表跑路等基本命令进行注入!!!
SQL注入命令执行
qq_50034496的博客
07-06 1370
SQL注入命令执行
SQL注入-文件读写】文件的读取+写入:函数、使用方法
05-30 8922
SQL注入】文件读写
SQL注入之文件读写
永远是少年
06-27 2213
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQL注入之文件读写。 一、SQL注入文件读写函数 二、SQL注入文件读写之secure_file_priv参数 三、SQL注入文件路径获取 四、SQL注入文件读写之魔术引导开关......
SQL注入语句总结及常用函数解释
qq_62886656的博客
05-03 1246
常用注入时所用函数介绍-----参考sql-labs总结 updatexml() 函数 UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称; 第二个参数:XPath_string (Xpath格式的字符串); 第三个参数:new_value,String格式,替换查找到的符合条件的数据; 该函数对XPath_string进行查询操作,如果符合语法格式要求,则用第三个参数替换
SQL函数说明大全
学无止境
04-08 5834
一旦成功地从表中检索出数据,就需要进一步操纵这些数据,以获得有用或有意义的结果。这些要求包括:执行计算与数学运算、转换数据、解析数值、组合值和聚合一个范围内的值等。 下表给出了T-SQL函数的类别和描述。 函数类别 作用 聚合函数
MySQL面试高频知识点梳理:索引、SQL、优化与安全
5. **安全性**:面试者会关注权限管理(GRANT和REVOKE)、数据加密、SQL注入防范等内容。考生应了解如何确保MySQL数据库的安全性和隐私保护。 6. **特定知识点问答**: - char和varchar的区别:重点在于char存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值