信安学习day12:SQL注入的介绍

已于 2023-08-16 22:50:18 修改
阅读量60 收藏
点赞数
文章标签: 学习 sql 数据库
于 2023-08-15 18:20:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73760178/article/details/132304675
版权

MYSQL注入:

基础:
什么是SQL注入:

危害:

SQL注入过程:

SQL注入的方式:

  1. get注入
  2. Post注入
  3. Cookie注入
  4. Head头部注入

按照注入方式分类:
1. 有回显的注入

2.盲注

3.二次注入

4.报错注入

5.堆叠注入

6.宽字节注入

SQL注入原理:

web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询。

一、判断是否存在SQL注入与SQL注入的类型:

  1. 先看类型,先用单引号’来判断是否为回显注入;
  2. 遇到盲注需要用逻辑语句,and语句,and 1=1,and 1=2;

二、判断SQL注入是字符型还是数字型

要选择进行闭合

三、爆列数

Order by num %23——%23——#

四、然后数据库名

database()

五、爆表名

Union select 1,group_concat(table_name),3 from

Information_schema.tables where table_schema=database()%23

要在SQL查询中的id设为-1,因为这样可以不让原本的sql语句输出,而是让union后的语句输出。

group_concat(table_name)是将所有表的名连接到一起,因为考虑到wed网页里对输出会有限制。

六、爆列名:
Union select 1,group_concat(column_name),3 from

Information_schema.columns where table_name=’users’%23

七、爆值

Union select 1,2,group_concat(username,password) from users

联合注入时的常用函数:

 

 

yiqiqukanhaiba
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中科大信安SQL注入报告
07-11
### 中科大信安SQL注入报告 #### 一、背景介绍 本次实验是中科大信息安全导论课程的一部分,旨在通过实践让同学们理解SQL注入的基本原理及其防范措施。实验分为六个安全级别,每个级别的难度逐渐增加,通过对不同...
信安必备靶场-sqli-labs-master-用于练习sql注入各种注入类型
08-12
这个靶场通常用于安全培训、渗透测试和学习Web应用程序安全方面的人员,它提供了一系列的模拟环境和挑战,目的是让用户通过实际操作来理解和掌握SQL注入漏洞的利用技术。 在这个靶场上,用户可以创建账号并登录,...
信安学习学习方法
12-06
### 信安学习方法知识点详解 #### 一、专业背景与发展趋势 - **信息安全的重要性**:随着信息技术的快速发展,信息安全已成为国家发展战略中的重要组成部分。它不仅关乎国家安全、社会稳定,也直接关系到个人隐私...
天权信安杯 catf1ag CTF 2022 题目
12-09
天权信安杯 catf1ag CTF 2022 题目。除了Web,其他类型的题目基本上都下载了。
联创信安:2021年半年度报告.rar
09-29
《联创信安:2021年半年度报告》是联创信安公司发布的一份重要的财务与业务总结文档,旨在向公众、投资者及合作伙伴展示公司在2021年上半年的经营状况、业绩表现和未来战略规划。这篇报告通常包含了以下几个关键领域...
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
车载测试
08-12 577
车身域测试学习、CANoe工具实操学习、UDS诊断测试、功能安全测试、DTC故障注入测试、DBC数据库、CDD数据库、CAN一致性测试
OrangePi AIpro学习5 —— 模型推理程序开发
HuanBianCheng27的博客
08-13 694
本章讲解Resnet50模型如何运行在昇腾芯片上,如何对图片进行推理
【IC设计】昇腾910架构学习
VICI的博客
08-10 278
昇腾910是华为的AI训练卡,基于7nm EUV工艺,其中有16个基于ARMv8定制的CPU,32个Ascend-Max AI加速器,使用4*6的无缓存NoC Mesh进行互联,使用HBM(High Bandwidth Memory)进行存储,提供128通道的视频译码器。本文内容是参考华为公开资料形成的个人观点,无侵权行为,内容仅供学习
学习总结】JVM篇
qq_43813182的博客
08-13 397
HotSpot虚拟机时OpenJDK和OracleJDK中默认的Java虚拟机。它最初并非由Sun公司所开发,而是由一家名为“Longview Technologies”的小公司设计。Sun公司注意到这款虚拟机在即时编译等多个方面有着优秀的理念和实际成果,在1997年收购了Longview Technologies公司,从而获得了HotSpot虚拟机让HotSpot虚拟机与总不同的就是它的热点探测技术。HotSpot虚拟机通过执行计数器找出最具有编译价值的代码。然后通知即时编译器以方法为单位进行编译。
8月13日学习笔记 LVS
最新发布
weixin_70751701的博客
08-13 786
目标地址散列调度算法先根据请求的目标IP地址,作为散列键 (Hash Key)从静态分配的散列表找出对应的服务器,若该服务器 是可用的且未超载,将请求发送到该服务器,否则返回空。1. 配置两个网卡和两个ip地址,正常来说应该配置两个不同的网段的 ip,一个对外的vip,一个对内的dip,现在主要使用nat的网络模 式,可以配置桥接模式对外,Nat对内,教师机不方便配置桥接模 式,所以都是配置的nat模式,但是一定要分清楚哪个ip是vip,哪个 ip是dip,在物理主机上都要能够ping通。
Kubernetes(k3s)基础学习(三) -- Deployment、Service、Ingress
码农从0到1
08-10 308
通常来说,在编写yml 时,Pod与Deployment 成对出现。因为弹性伸缩的需要,Deployment 扮演着Pod 的监管者角色。仅仅通过Deployment配置文件就可以启动pod,所以不需要单独写pod的配置文件。执行完上述命令后,我们在输出终端也看到有一个Pod 被创建出来,IP地址为10.42.0.34。这个IP地址如所讲,只允许被Kubenetes 内部环境所访问,外网不能正常访问。怎样才能让外界能够访问容器呢?
【Python零基础学习】变量和简单数据类型
卓越之识论道,平常之识论事,狭隘之识论人
08-10 610
【Python零基础学习】变量和简单数据类型
VBA学习(26):引用单元格/单元格区域的方法
nianfen的博客
08-13 245
实际上也可以将这些属性组合在一起,例如要选择数据底部的下一个新行,可以使用Range(“A1”).End(xlDown).Offset(1,0),首先转到A1,向下到数据的底部,然后将结果向下偏移一行,以选择下一个空白行。引用连续单元格区域中最底部的单元格(即该单元格下方的单元格为空)。引用目标单元格的所有相关单元格,包括相关单元格的相关单元格。引用目标单元格的所有从属单元格,包括从属单元格的从属单元格。在VBA中,可以通过多种不同的方式来引用工作表中的单元格/单元格区域。引用目标单元格的从属单元格。
C++基础编程的学习3
m0_56701519的博客
08-08 288
nullptr。
Element学习(对话框组件、表单组件)(3)
m0_74363339的博客
08-08 189
一旦通过v-model绑定一个数据模型时,这个数据模型必须声明出来,就要去data(){}中写。8、最后测试提交表单数据,查看提交的表单数据——>再提交到服务端就可以了。7、提交按钮时会触发一个方法——>onSubmit(),这时就要去声明。9、 如何采集到form表单中每一个表单项的数据内容——>只需要通过""来进行数据绑定,将各个表单项的数据绑定到一个对象当中就可以了。如何将js对象——>变成"json格式"的字符串?为了能够显示出提交的对象中的每一个属性?2、这里选择学习——>5、这里选择学习——>
MongoDB学习笔记(三)
2303_76234920的博客
08-08 243
使用Python操作MongoDB:使用管理员用户:
地热模拟软件opengeosys-OGS安装和学习1
weixin_45793544的博客
08-13 112
地热地埋管换热性能模拟软件OGS
jmeter-beanshell学习16-自定义函数
朱文宇的博客
08-09 309
jmeter使用beanshell,jmeter beanshell脚本编写,beanshell写函数、方法
英伟达元宇宙平台Omniverse的学习,技术调研
xzb5566的专栏
08-09 927
NVIDIA Omniverse™ 是一个基于 USD (Universal Scene Description) 的可扩展平台,可使个人和团队更快地构建自定义 3D 工作流并模拟大型虚拟世界。Omniverse:三维设计协同、模拟的开发平台,实现3D实时渲染,RTX光线追踪技术协同:多用户模拟:数字孪生 Digital Twins平台:类似于CUDA的平台,而非应用可以连接主要设计工具、资产和项目,从而在共享的虚拟空间中协作和迭代。
信安之路2017:安全学习与经验分享
"SQL注入学习总结"和"SQL注入的常规思路及奇葩技巧"分析了SQL注入的原理和应对方法,"XSS学习笔记"分为两部分,详述了XSS攻击的类型和防御手段。"Session机制及CSRF攻防"则关注了会话管理及跨站请求伪造的防范。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值