Sql注入示例

已于 2023-05-19 08:48:35 修改
阅读量1.2k 收藏
点赞数
分类专栏: SQL Server 文章标签: sqlserver 数据库
于 2023-05-19 08:35:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yenange/article/details/130752507
版权

Sql注入是我们经常听说的,具体极大的风险性,下面给一个比较直观的示例:

USE tempdb
GO
IF OBJECT_ID('stu') IS NOT NULL
DROP TABLE stu
GO
CREATE TABLE stu(
	stuId INT IDENTITY(1,1) PRIMARY KEY,
	stuName NVARCHAR(20) NOT NULL
)
GO
INSERT INTO stu(stuName) VALUES ('小明'),('小红'),('小江')
GO
--SELECT * FROM stu
/*
stuId	stuName
1	    小明
2	    小红
3	    小江
*/
GO
---------------- A. 使用参数化 -------------------
DECLARE @sql NVARCHAR(MAX),
	@stuName NVARCHAR(20)	--用户输入部分
SET @sql='select * from stu where 1=1 and stuName=@stuName'
SET @stuName='''小明'';truncate table stu;'
PRINT @sql
EXEC sp_executesql @sql,N'@stuName nvarchar(20)',@stuName
SELECT * FROM stu
--没有查到任何记录,但原本的记录没有受影响

---------------- B. 拼接SQL -------------------
DECLARE @sql2 NVARCHAR(MAX),
	@stuName2 NVARCHAR(50)	--用户输入部分
SET @sql2='select * from stu where 1=1 and stuName='
SET @stuName2='''小明'';truncate table stu;'
SET @sql2+=@stuName2
PRINT @sql2
EXEC (@sql2)
SELECT * FROM stu
--能查到一条记录(小明),但表中所有记录已被清空

所以,使用参数化,能避免SQL注入带来的风险。

拼接SQL,拼接到用户输入字符串时,因用户输入是不可控的,没有参数化会产生不可预料的结果,应该尽量避免。

吉普赛的歌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
SQL注入基础原理与案例(详细总结)
剁椒鱼头没剁椒的博客
10-20 6571
本篇总结了学习SQL注入的笔记,暂时没总结WAF绕过方面的内容,后期会对WAF绕过进行总结。目前先总结一些基础的东西,可能有些参数不全,具体的参数或者函数可以百度搜索一下。发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。
sql注入详解
m0_67392811的博客
06-12 5842
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
SQL注入详解
qq_48904485的博客
03-21 2万+
针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。 其成因可归结为以下两个原理叠加造成: 1、程序编写者在处理程序和数据库交互时,使用字符串凭借的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 SQL注入的攻击方式分为:报错注入、布尔盲注 、延时注入、堆叠查询、联合查询 、二次注入等等
一文带你学习SQL注入
大河之犬的博客
12-21 5649
但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。下面是一个在Java中调用存储过程的例子,其中。
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入(SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
SQL注入示例,渗透测试参考
05-07
jsp脚本,sql注入示例,渗透测试
php防止sql注入示例分析和几种常见攻击正则表达式
12-19
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。在PHP中,防止SQL注入是非常重要的。以下是对标题和描述中涉及的知识点的详细说明: 1. **自定义...
sql注入之手工注入示例详解
09-10
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的参数直接构造SQL查询语句时。手工注入是指不依赖自动化工具,而是通过手动构造和尝试不同的SQL语句来探测和利用这种漏洞。本文将深入讲解如何进行...
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 3万+
一些概念:SQL:用于数据库中的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
sql各种注入案例
m0_69435261的博客
09-01 4920
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集)GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。GTID_SUBSET函数。
【万字长文】SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
03-17 5662
之前一直有粉丝朋友,在挖漏洞过程中使用到SQL注入,希望大白给他讲解一些的SQL注入,今天大白也特地给粉丝朋友安排好了SQL注入攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。
SQL注入简介和注入方法教学
HAKUNAMATATATTA的博客
11-14 5037
以sqli-labs靶场为例,详细介绍GET显错注入,GET盲注等一系列最新常见得SQL注入方法
SQL注入案例演示与防范措施大全
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
SQL注入详解(万字文章详解)
追光者的博客
03-12 8011
本文章仅为学习交流使用,请勿做其它用途使用,请勿触碰法律红线。
sql注入实例
weixin_45901902的博客
11-11 4767
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:“早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题”,先暂不评价此说法对错,如此冷淡的反应只能说明了对SQL注入的无知,今天就通过这个实例来告诉大家SQL注入究竟有多大的危害。 初步注入--绕过验证,直接登录 公司网站登陆框如下: 可以看到除了账号密码之外,还有一个公司名的输入框,根据输入框的形式不难推出SQL的写法如下: 1 SELECT*FromTableWHEREName...
SQL注入教程:基础与实战示例
这些SQL注入示例展示了攻击者如何通过恶意构造的SQL语句来操控数据库服务器,执行系统命令,获取敏感信息,甚至破坏系统安全。在实际环境中,防御SQL注入通常需要对用户输入进行严格的过滤和验证,确保所有的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值