sql注入基础

最新推荐文章于 2024-07-09 10:00:27 发布
最新推荐文章于 2024-07-09 10:00:27 发布
阅读量315 收藏 1
点赞数 2
分类专栏: wed安全 文章标签: mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xt_beginner/article/details/110952154
版权

有几个mysql内置的函数需要记住:

-- 有几个mysql内置的函数需要记住:
length(str):返回str字符串的长度。
substr(str, pos, len):将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始
mid(str,pos,len):跟上面的一样,截取字符串
ascii(str):返回字符串str的最左面字符的ASCII代码值。
ord(str):同上,返回ascii码
if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0
使用ascii码来判断时,需要向我们的工具中加入ascii码的字典

常用的sql注入语句:

  1. and
    and:并且
    (1) .需要符合所有条件,这样的记录就会被查询出来。
    (2) .如果其中一个条件不符合则记录将被剔除掉。
  2. or
    or:或者
    (1) .只要符合这几个查询条件的其中一个条件,这样的记录就会被查询出来。
    (2) .如果不符合这些查询条件中的任何一条,这样的记录将被排除掉。
    (3) and和or的优先级:and优先
  3. order by
    order by:排序
    (1) .降序:desc
    (2) .升序:ASC
  4. where --后面加条件(满足则输出)

limit o,1 --限制(从第一条开始输出,1:只输出一次)

  1. union --联合查询(讲两条select语句连起来查询)
    注意,UNION 内部的 SELECT 语句必须拥有【相同数量】的列,列也必须拥有相似的数据类型
    同时,每条 SELECT 语句中的列的顺序必须相同
    注释:默认地,UNION 操作符选取不同的值。如果允许重复的值,请使用 UNION ALL

  2. sql注入常用的函数
    6.1. version() —查看mysql版本信息

    6.2. user() —查看当前

最低0.47元/天 解锁文章
xt_beginner
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL0x01关系模型
weixin_41687289的博客
02-28 306
我们已经知道,关系数据库是建立在关系模型上的。而关系模型本质上就是若干个存储数据的二维表,可以把它们看作很多Excel表。 表的每一行称为记录(Record),记录是一个逻辑意义上的数据。 表的每一列称为字段(Column),同一个表的每一行记录都拥有相同的若干字段。 字段定义了数据类型(整型、浮点型、字符串、日期等),以及是否允许为NULL。注意NULL表示字段数据不存在。一个整型字段如果为NU...
【万字长文】SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
03-17 7436
之前一直有粉丝朋友,在挖漏洞过程中使用到SQL注入,希望大白给他讲解一些的SQL注入,今天大白也特地给粉丝朋友安排好了SQL注入攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。
SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
xiaoganbuaiuk的博客
07-09 1007
SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。
Web安全SQL注入
qq_42751192的博客
06-09 2226
SQL注入SQL lnjection)是发生在 Web 程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的 BUG 来实现攻击,而是针对程序员编写时的疏忽,通过 SQL 语句,实现无账号登录,甚至修改数据库。也就是说,SQL 注入就是在用户输入的字符串中添加 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。
SQL注入基础
屿的博客
02-14 4465
各位靓仔们是否经常听到sql注入呢,那么什么是sql注入?引用微软官方的语言来说:SQL 注入是一种攻击方式,在这种攻击方式中,在字符串中插入恶意代码,然后将该字符串传递到 SQL Server 的实例以进行分析和执行。构成 SQL 语句的任何过程都应进行注入漏洞审阅,因为 SQL Server 将执行其接收到的所有语法有效的查询。一个有经验的、坚定的攻击者甚至可以操作参数化数据。那么接下来,让我们来了解一下sql注入是如何产生的。
SQL注入 基础
04-30
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入基础知识
01-18
SQL注入基础知识的学习,可以对你有很大的帮助,避免在开发过程中出现更多的安全问题
SQL注入基础.pdf
07-05
介绍SQL注入的原理,常见入侵与防御方式,手工注入或者工具注入
SQL注入基础整理及Tricks总结1
08-03
SQL注入基础与技巧总结】 SQL注入是一种常见的网络安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL代码,以获取未授权的数据访问或控制服务器。以下是对标题和描述中提到的知识点的详细说明: 一、联合...
SQL注入基础和进阶.pdf
12-26
"SQL注入基础和进阶" SQL注入是指Web应用程序对用户输入的数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,那么攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。开发...
Sql注入基础
lml_0916的博客
08-06 1358
攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据系统下达指令,,进而实现对后台数据库乃至整个应用系统的入侵。简单解释由于代码的不完全或者是存在一些不安全的过滤,导致用户在输入的时候带入了不安全的数据(非法数据);比如说单引号、双引号、联合查询、盲注、闭合等等,然后在输入的时候就可以输入非法的数据。...
SQL注入sql-labs通关1-18(手工注入、高权限注入、文件读写、提交方式、查询方式、WAF绕过、sqlmap)
m0_61506558的博客
07-25 847
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。......
sql注入基础/非常基础/从0到1/
ChenD的学习笔记
10-03 878
SQL注入基础知识+靶场第一关,这章干货满满哦
SQL注入基础教程:从零开始学习
"这篇资料是PKAV出品的关于SQL注入基础的教程,适合初学者学习。教程通过一个寓言故事引入,讲述了SQL注入的基本概念、形成原因、在渗透测试中的应用,以及常见的注入过程。教程内容包括数据库基础SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值