小白谈SQL注入(二)

最新推荐文章于 2022-02-21 17:18:46 发布
最新推荐文章于 2022-02-21 17:18:46 发布
阅读量261 收藏 1
点赞数
分类专栏: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x519461623/article/details/103340785
版权

小白浅谈SQL注入(二)

当你的才华

还撑不起的野心时
那你就应该静下心来学习

今天我们来实战(大佬勿喷)
这里我们使用dvwa进行实战。

实战坏境
下载DVWA 渗透演练平台,Dvwa是用php语言写的安全测试平台,所以我们先要创建一个php开发集成环境。我们可以采用最简单的方法,只要安装上phpstudy,就安装了php开发集成环境。
首先将DVWA解压在phpstudy的WWW目录中,
在这里插入图片描述然后打开config,把config.inc.php.list改为config.inc.php,用记事本打开,修改配置。
在这里插入图片描述然后打开(打开过程就不细说了),登陆(应户名:admin,密码:password)。

然后…开始正题。

dvwa之sql注入学习(不同级别)

等级(low)

在这里插入图片描述
在这里插入图片描述
从页面上看到,有一个可以提交查询内容的地方

我们可以通过以下步骤开始注入

1.判断这里是否存在注入点

  • 输入1,提交
    在这里插入图片描述
  • 输入1’,提交
    在这里插入图片描述
  • 输入1 and 1=1,提交

在这里插入图片描述

  • 输入 1 and 1=2,提交
    在这里插入图片描述

从以上可以看出是存在注入点的,

2.判断字段数(二分法常用)

输入 1’ order by 3# 返回错误

最低0.47元/天 解锁文章
x519461623
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入的常用命令
09-18
sql注入的常用命令,个人总结,适合一些小白使用,大神可以了解了解,有错请指出。
小白学习的sql注入
weixin_45901002的博客
08-27 497
sql注入简介一、sql注入漏洞原理二、漏洞危害三、sql注入分类四、sql-labs靶场搭建 一、sql注入漏洞原理 针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的: 1、程序编写者在处理程序和数据库交互时, 使用字符串拼接的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 二、漏洞危害 但凡使用数据库开发的应用系统,就可能存在SQL注入攻击的
查询数据库中所有表名,查询表中所有字段名
weixin_30242907的博客
08-29 1498
mysql: 1.查询数据库中所有表名称:   select table_name from information_schema.tables where table_schema='数据库名称';(包含视图)   select table_name from information_schema.tables where table_schema='数据库名称' and tab...
dvwa详解_SQL注入--dvwa靶场--low注入详解
weixin_30438053的博客
12-17 291
1、判断是否存在注入注入类型说明不是数字型注入,因为没有对1=2做判断 正常执行 逻辑判断为假,无输出,故为字符型使用or关键字跑出所有内容2、进一步获取信息order by 跑出字段数 1' or '1'='1 order by 3 # 时报错,说明只有两个字段使用1' union select 1,database() #获取当前数据库为dvwa如果报错MySQL SQL error: #1...
SQL注入心得
A9874564的博客
02-21 921
1.union 联合查询 查询当前数据库名 报错的语法(如and1=2)+ union select 1,database() 查询当前数据库版本 union select 1,version() 查询当前数据库 表名 1.union select 1,table_name from information_schema.tables where table_schema=database() limit 0,1 2.查询当前数据库所有表,并且拼接在一行显示 union select 1,group_co.
SQL注入:union注入学习笔记整理
spongbob1的博客
11-22 1700
union注入即为用union联合查询来查询指定的数据,需要根据每一步的返回结果来判断和进行下一步操作。此仅为个人的学习笔记。 结构 联合查询的语句结构基本为: select a from b union select c from d where e; union会一次显示两个查询结果,使第一个查询语句作为正常内容,第二个作为查询语句来进行构造。 第一步:判断类型 数字型判断 共分3步判断步骤: 1.加单引号,如输入id=1’,对应的sql为:select * from table where id=1
mysqlsql注入简单测试了解
08-31
sql注入语句
超级SQL注入工具
12-22
SQL注入SQL注入是一种常见的网络安全漏洞,发生在应用程序未能充分过滤或验证用户输入的数据时。攻击者可以利用这种漏洞,向数据库系统提交恶意构造的SQL语句,从而获取未授权的信息,修改、删除数据,甚至完全...
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
PHP+MYSQL 注入靶场
最新发布
04-26
里面有相关源码,参照源码去理解漏洞会更深刻,靶场中有SQL字符型注入SQL盲注,提供给大家进行练习使用。
mysql -- 手工注入
Nixawk
04-22 6454
------------------[index1.php源码]------------------ ID: ------------------[index2.php源码]------------------ $con = mysql_connect("localhost","root","fuckyou"); mysql_select_db("mytestdb"
【整理】mysql中information_schema.tables字段说明
boshuzhang的专栏
03-24 2万+
【整理】mysql中information_schema.tables字段说明   2016-05-04 16:47:50|  分类: 默认分类|举报|字号 订阅        下载LOFTER我的照片书  | 1. 获取所有表结构(TABLES) SELECT  *
使用SQL查询所有数据库名和表名
11-04 2916
MySQL中查询所有数据库名和表名 查询所有数据库 show databases; 查询指定数据库中所有表名 select table_name from information_schema.tables where table_schema='database_nam...
mysql中select column_name from Information_schema.columns where table_Name = 'test'出现多个字段的问题
这是一颗有毒的柚子
04-06 1万+
在mysql中,通过sql查询某个表字段时,会出现一些这个表中没有的字段 例: select column_name from Information_schema.columns  where table_Name = 'test'; 因为这个表在其它库中也存在了,所以会出现多余的字段。 解决办法: select column_name from Information_s
mysql命令查询表的个数
热门推荐
09-07 3万+
语句如下: SELECT count(TABLE_NAME) FROM information_schema.TABLES WHERE TABLE_SCHEMA='dbname'; 其中dbname是要查看的数据库的名字。 查看表结构: description tbname; 也可使用简写: desc tbname;
mysql select中联表_在MySQL中使用SELECT语句获取表名
weixin_32886135的博客
02-26 1337
获取所有表的名称使用:SELECT table_name FROM information_schema.tables;要从特定数据库中获取表的名称,请使用:SELECT table_name FROM information_schema.tables where table_schema='';现在,要回答原始问题,请使用以下查询:INSERT INTO SELECT table_name ...
【学习笔记】SQL注入基础以及命令
chualam的博客
08-23 133
登录检验顺序方式 1)一同检验账号密码 2)先检验账号 再检验密码 常用SQL查询语句select 字段 from 表单 where 字段范围 SQL注入点类型: varchar字符型:需要引号包含 int整数型 如何发现注入点: GET POST HTTP头COOKIES 只要是和数据库交互的都可能存在注入 union联合注入:多个select语句合并 条件:前后select字段数目一样 如何判断select字段数目,使用order by查询语句进行排序,一旦超过字段数目则会报错
(SQL: select * from information_schema.tables where table_schema = ches and table_name = migrations)
Sumshine12.5
02-08 4718
(SQL: select * from information_schema.tables where table_schema = ches and table_name = migrations) 数据库未连接
我是一个小白,我想测试我的应用是否存在sql注入的漏洞该怎么做
07-12
作为开发者,确保你的应用不受SQL注入攻击是非常重要的。下面是一些测试应用是否存在SQL注入漏洞的常见方法: 1. 输入测试:尝试在应用程序的输入字段中输入特殊字符,如单引号(')或分号(;)。如果应用程序没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值