Sql 注入漏洞

最新推荐文章于 2021-11-06 22:41:05 发布
最新推荐文章于 2021-11-06 22:41:05 发布
阅读量63 收藏
点赞数

今天学习Servlet时,学习到的Sql注入漏洞的知识。

Code:
  1. select*fromuserswhereusername='admin'andpasswd='admin';
  2. select*fromuserswhereusername='dsa'andpasswd='cdsa'or1='1';

第一行代码,是符合要求的代码,按照要求查找用户名和密码。

第二行代码,就是Sql注入漏洞了。'dsa'以及'cdsa'是随便输入的。只要是username='XXX'andpasswd='XXX'or1='1' 就可以了。

这样的话就可以将数据库中这张表的所有的记录查出来。

所以如果在编写网站时,没有考虑这个漏洞的话。结果是:

在用户名的输入框中输入XXX(XXX表示任意输入)

在密码的输入框中输入 XXX'or1='1(XXX表示任意输入)

点击登录后照样可以登录。

当然这是对于新手编写的网站可以用这种方法试试。大型的网站,估计人家早就弥补了。


ps:我的新博客地址:http://www.xinghaixu.com

成长的企鹅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞全接触.ppt
SQL注入处存在的XSS漏洞
AaronLuo
10-17 610
SQL注入与XSS都是web安全中的危险漏洞 简单来说一下XSS与CSRF最大的区别,这两个的最大的不同点在于XSS是客户端信任服务端,当服务端未过滤恶意代码发送给客户端,客户端浏览器就直接执行;CSRF是服务端信任客户端,当攻击者构造好url之后,受害者发送请求给服务器,通过服务器的验证(cookie,token之类的),则直接以受害者的权限执行相关操作,完成服务。 SQL注入中的XSS 环境 ...
Joomla 3.4.3版本 SQL注入漏洞分析
weixin_34270865的博客
12-24 471
0x00 漏洞分析 漏洞触发的代码位于:/administrator/components/com_contenthistory/models/history.php,getListQuery()函数内: 通过SQL及报错信息,可以知道我们的注入payload被插入到了红色框部分内。跟进getState()函数,位于libraries/legacy/m...
anymacro mail 严重漏洞
cnbird's blog
06-19 2864
设置邮件系统管理密码 密  码: 重输密码: class=bgcolor1> Copyright © 2002 Beijing Anymacro Investment Ltd. All Rights Reserved. 北京安宁投资有限公司 版权所有
web安全之SQL注入漏洞危害及类型
qq_52742521的博客
11-06 5579
Sql注入漏洞是网站漏洞中的高风险漏洞,排名前三,影响范围广。asp、net、PHP、java等编程语言都存在SQL注入漏洞。所谓SQL注入,就是通过在Web表单中插入SQL命令提交或输入域名或页面请求的查询字符串,来欺骗服务器执行指定的SQL语句。具体来说,就是能够通过使用现有的应用程序,将SQL语句注入后台数据库引擎来执行。它可以通过将SQL语句输入到网络表单中,而不是按照设计者的意图执行SQL语句,来获取具有安全漏洞的网站上的数据。根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者是由不
SQL注入漏洞演示源代码
09-29
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
YXcms-含有SQL注入漏洞的源码包.zip
03-17
YXcms-含有SQL注入漏洞的源码包,亲测可用真实有效,如有侵权,请联系CSDN管理员删除即可
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
SQL注入漏洞全接触
03-03
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面...
SQL注入——中转注入利用方法漏洞复现
W小哥
11-25 2265
一、 https://www.mozhe.cn/bug/detail/MFZ4VjBxRnlIMHBUdGllRDJBMWtRZz09bW96aGUmozhe <?php $id = base64_encode($_GET['id']); echo file_get_contents("http://219.153.49.228:46542/show.php?id=$id"); //base64_encode base67编码 //file_get_contents 网络请求 ?> ..
AnyMacro Mail 重大漏洞 涉及政府、军工、收费运营商、大型企业
热门推荐
fengling132的专栏
06-19 1万+
漏洞概要关注数(36) 关注此漏洞 缺陷编号: WooYun-2012-06672 漏洞标题: AnyMacro Mail 重大漏洞 涉及政府、军工、收费运营商、大型企业 相关厂商: AnyMacro Mail 漏洞作者: 松子 提交时间: 2012-05-04 公开时间: 2012-06-18 漏洞类型: 非授权访问/权限绕过 危害等级
mysql基础语法
YouthBelief的博客
10-07 135
mysql基础语法 创建数据库 create database qzone; 创建表 create table user( id int(11) not null primary key auto_increment); 表里增加字段 alter table user add username varchar(20),add password varchar(20); 给字段添加值 insert into user(username,password) values(‘admin’,‘admin’); in
用户登录SQL漏洞
weixin_30323961的博客
03-30 99
补充:数据库自复制:insert into users(username,password,email,grade) select username,password,email,grade from users. 1 SQL漏洞,本人在SQL Sever2008下亲测 因此一般情况下,用户输入任意用户名,密码输为:XXXX'or 1='1就可以验证通过。 一般的代码验证方法:...
(更新至2022年)城镇男性就业人员调查周平均工作时间.xls
最新发布
05-05
数据来源:中国人口与就业统计NJ-2023版
各地区技工院校综合情况(2022年).xls
05-05
数据来源:中国劳动统计NJ-2023版
基于matlab实现样本熵算法,可用于提取生理信号的特征参数
05-04
基于matlab实现样本熵算法,可用于提取生理信号的特征参数,运算速度较快,m=1或2;r=0.1_std(data)~0.25_std(data)最佳。.rar
蜂网-SCM车销访销业务.pptx
05-04
蜂网_SCM车销访销业务.pptx
数据更新至2020年国民经济主要指标一览表.xls
05-05
数据来源:中国电力统计NJ-2021版
sql注入漏洞挖掘实战
08-31
SQL注入漏洞挖掘实战是指通过利用SQL注入漏洞漏洞挖掘活动。SQL注入漏洞是一种常见的数据库攻击手段,用于利用应用程序对用户输入的SQL语句进行不当处理,从而导致恶意用户可以执行未经授权的数据库操作。这些操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值