网络安全学习笔记——SQL常用函数

已于 2023-08-06 09:09:56 修改
阅读量882 收藏 1
点赞数
文章标签: 数据库
于 2023-08-05 21:16:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72324806/article/details/132124735
版权
本文介绍了在SQL注入攻击中常用的几种危险函数,如version()用于获取数据库版本,user()查询用户信息,以及blind注入时可能利用的sleep(),ascii(),substr(),length()等函数。还提及了load_file()和intooutfile用于文件操作,这些都是黑客可能滥用的点。
摘要由CSDN通过智能技术生成

联合注入常用函数

  • version(): 查询数据库的版本
  • user():查询数据库的使用者
  • database():数据库
  • system_user():系统用户名
  • session_user():连接数据库的用户名
  • current_user:当前用户名
  • @@datadir:读取数据库路径
  • @@basedir:mysql安装路径
  • @@version_compile_os——操作系统版本
  • group_concat(): 连接一个组的所有字符串,并以逗号分隔每一条数据
  • load_file(): 读取文件
  • into outfile: 写入文件

盲注常用函数

  • sleep(): 让此语句运行N秒钟
  • ascii() :字符串的ASCII代码值
  • substr(): 返回字符串的一部分
  • length(): 返回字符串的长度
Nosery
关注
预防sql注入安全函数
03-14 1445
<br />预防sql注入安全函数<br /><br />定义和用法<br />mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。<br />下列字符受影响:<br />/x00 <br />/n <br />/r <br />/ <br />' <br />" <br />/x1a <br />如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。<br />语法<br />mysql_real_escape_string(string
SQL內置Function--安全函数
weixin_30571465的博客
11-10 90
安全函数 这些安全函数返回有关用户和角色的信息。 fn_trace_geteventinfo IS_SRVROLEMEMBER ...
图解SQL Server 安全函数的使用
bcbobo21cn的专栏
09-01 901
一 操作实例 我自己电脑上Sql Server的安全函数如下; 返回调用方对服务器的有效权限的列表; 返回调用方对OA_DB 数据库的有效权限的列表; 返回调用方对OA_DB 数据库内存储过程usersUpdate的有效权限的列表; 列出另一个用户的有效权限 当前用户是sa,没有别的用户,以sa来示例; 返回
SQL函数说明大全
学无止境
04-08 5885
一旦成功地从表中检索出数据,就需要进一步操纵这些数据,以获得有用或有意义的结果。这些要求包括:执行计算与数学运算、转换数据、解析数值、组合值和聚合一个范围内的值等。 下表给出了T-SQL函数的类别和描述。 函数类别 作用 聚合函数
网络安全学习笔记——ByPass绕过
just do it
05-13 667
MYSQL的substr第一位从1开始切割bypass即绕过,一般绕过是绕过防火墙,绕过waf,绕过本地的360,绕过网站的看门狗等waf检测机制其实很简单,核心就是正则匹配,虽然说还有字符串强行匹配,还有什么语义解析,但是实际上还是正则居多所有的网站都会与数据库交互,但不一定所有的网站都存在SQL注入漏洞,因为可以对输入的内容进行过滤特殊字符,关键字,空格等,一般都可以使用别的字符代替过滤空格时的绕过使用 /**/MySQL自定义的注释符当作一个函数php语言%0a。
网络安全学习笔记——MySql基础语法
just do it
04-17 102
但char的存取速度还是要比varchar快得多,因为它长度固定,存储的位置也固定,所以char是典型的用空间换速度的存储方式,而varchae则是首先考虑存储的空间。用户输入账号密码,服务器接收账号密码参数,拼接之后给数据库进行查询,之后将查询结果返回至服务器,服务器再传给前端,看登录是成功还是失败。——主键,用于确定数据库的表中的不可改变的量,此时在表内,id就是唯一的区分点。varchar存放的是变长的数据,char存放的是固定长度的数据。建库 CREATE DATABASE company。
适合小白的网络安全学习笔记——第七课(基础漏洞之sql注入)
kiritio1024513的博客
08-22 850
过滤方式千千万,唯有思路不能忘。
CTF学习笔记——sql注入(1)
Obs_cure的博客
08-09 765
一、[强网杯 2019]随便注
Sql注入学习笔记——MySQL显错注入
qq_44720214的博客
07-26 1275
显错注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。
CTF学习笔记——LoveSQL
Obs_cure的博客
09-14 979
一、[极客大挑战 2019]LoveSQL 1.题目 2.解题步骤 题目提示了sqlmap,还是老规矩试一下 继续使用其他sql语句尝试一下,先试试万能的1' or 1=1 #,结果成功了…爆出一段奇妙的码,试了一下不是flag。接下来尝试一下查询呢 3.总结 4.参考资料 buuctf 极客大挑战 lovesql_SopRomeo的博客-CSDN博客 ...
Android学习笔记——归纳整理
Yawn
04-21 9083
Android入门笔记——归纳总结
软件测试学习笔记——数据库知识
weixin_45243288的博客
02-16 832
软件测试知识——数据库知识 怎么理解数据库数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、能共享的、统一管理的数据集合。 数据库是以一定方式存储在一起、能与多个用户专项,可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作。 什么是关系型数据库? 关系型数据库是建立在关系模型基础上的数据库。 所谓的关系模型就是“一对一、一对多、多对多”等关系模型,关系模型就是指二维表格模型,因而一个关系型数据库就是由二维数
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1421
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP的
实用SQL小总结
UntifA的博客
09-29 1365
SQL记录
MySQL之复合查询与内外连接
最新发布
zdlynj的博客
09-30 1231
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
点评项目-2-完善注册登录业务
m0_75138009的博客
09-29 591
需要处理的业务:在网页发送 /user/code 路径下的 post 请求后,我们需要检验手机号后,向合法的手机号发送一个随机生成的电话号。
Spring的热部署工具和数据库密码加盐操作
2301_77053417的博客
09-28 820
加密过程:用户输入的密码+盐值 --> 字符串1,然后使用md5对字符串1加密得到字符串2,然后字符串2+盐值 --> 字符串3,这个字符串3就是存储在数据库中的密文。背景:如果我们的密码明文存储在数据库中,要是被窃取了是非常的危险的,所以我们在数据库中存储的密码不能是明文的,需要进行加密后存储,也就是数据库中存储的是密文。解密过程:取出数据库中的盐值和用户输入的密码得到字符串1,使用md5对字符串1加密得到字符串2,然后验证字符串2和数据库中的密文即可。做好以上的步骤,你项目中的热部署就已经做好了。
MySQL学习笔记:探索常用基本函数
"小白的MySQL学习笔记系列,涵盖了从基础到进阶的MySQL知识,包括条件查询和排序查询,本部分重点讲解了常见的基本函数,包括单行和分组函数,如字符函数、数字函数等,旨在提高代码复用性和简化查询操作。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nosery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值