web安全之SQL注入漏洞学习----初识sql(7)

最新推荐文章于 2024-10-12 13:30:00 发布
最新推荐文章于 2024-10-12 13:30:00 发布
阅读量195 收藏
点赞数 2
文章标签: web安全 sql 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yikexiancai/article/details/136839811
版权
本文详细介绍了DQL(数据库查询语言)的基础语法,包括查询多个字段、设置字段别名、去除重复记录以及使用别名的实际用法。通过实例演示如何在实际场景中构造复杂的查询。
摘要由CSDN通过智能技术生成

DQL语法

主要就是查询,sql注入中很多时候都要用

基本查询

1.查询多个字段

select 字段1,字段2,字段3...from 表名;

select * from 表名;

2.设置别名

select 字段1[as 别名1],字段2[as 别名2]...from表名;

3.去除重复记录

select distinct 字段列表 from 表名;

在查询之前我们跟着黑马哥的步伐整一个复杂一个表,这样方便我们更好的在之后感受语句查询

先把我们的火柴盒房间搭建起来,然后增加我们的熔炉呀工作台呀床呀附魔台呀等等东西

接下来试试我们的第一个查询语句

查询全部表名已经玩儿过所以直接下一个

上面写的是【as 别名】但是实际上我们可以看到真正的用法是as '别名'

yikexiancai
关注
web安全SQL注入漏洞学习----初识sql(6)
yikexiancai的博客
03-19 181
表名 set 字段名1=值1,字段名2=值2,....[where 条件];这里我们刚好设置了两个鸡哥字段,所以来删除一下,看看会不会一起删掉。delete from 表名[where 条件]接下来我们试着去改变一下创建表的字段。
web安全SQL注入漏洞学习----初识sql(5)
yikexiancai的博客
03-19 244
insert into 表名(字段名1,字段名2,...)values(值1,值2,...),(值1,值2,...),(值1,值2,...);insert into 表名values(值1,值2,...),(值1,值2,...),(值1,值2,...);insert into 表名(字段1,字段2,...)values(值1,值2,...);为了增加我们字段名数据的多样性我们可以在这四个字段里再加个时间字段,顺便复习一下操作。搞定可视化界面后,我们继续来回归我们的主业,熟悉语句。然后来试试第二个添加方式。
web安全SQL注入漏洞学习----初识sql(8)
yikexiancai的博客
03-19 126
select 字段列表 from 表名 where 条件列表。查询年龄在18-20之间的员工。查询身份证最后一位为3的员工。查询年龄小于20的员工信息。查询年龄小于等于15的员工。查询名字为两个字的员工信息。查询年龄等于20岁的员工。
web安全SQL注入漏洞学习----初识sql(10)
yikexiancai的博客
03-19 203
接下来我们继续我们的sql联合查询union,这里比较跳但是为了提高效率先将union联合查询熟悉一下然后到sqllab中继续深入和强化。这里的union也可以调换成union all二者的区别就是union会去重。把多次查询的结果合并起来,形成一个新的查询结果集。查询在火星工作且和年龄小于18的员工。
web安全SQL注入漏洞学习----初识sql(9)
yikexiancai的博客
03-19 209
查询年龄小于15的员工,并根据工作地址分组,获取员工数量大于等于3的工作地址,这里我们改一下同一个工作地址的员工。根据性别分组,统计男性员工和女性员工的数量。虽然慢慢开始繁琐但还是以熟悉为主就可以了。根据性别分组 统计男女员工的平均年龄。count 统计数量。min 最小值。avg 平均值。max 最大量。sum 求和。求所有男性员工的年龄之和。然后接下来实际操作一下。接下来正式进入分组查询。
web安全SQL注入漏洞学习----初识sql(1)
yikexiancai的博客
03-18 238
查询到了第一个初始数据库表,这里最后加的是;不是:一定要注意,如果出错了可以把数据库密码在小皮上改一下重新启动终端然后启动mysql应该就好了。sql漏洞是基于数据库的逻辑漏洞,因此,想要熟悉sql注入漏洞就必须要对sql语句有一定的了解。查询当前数据库发现就是这个数据库,这里不太严谨刚刚应该创两个数据库的。然后我们再试一下删除这个数据库(每个数据库都试一下加深印象)用小皮随便搞一个数据库我们就可以开始我们的sql之路辣。创建好以后我们先用终端来玩儿数据库,然后我们可以创建一个自己的数据库表。
web安全SQL注入漏洞学习----初识sql(4)
yikexiancai的博客
03-19 282
然后就是我们的可视化界面了,其实主要学指令就ok了,但是还是搞一个把,我们在学完xss,sql注入这些差不多就基本了解php,web三件套了,到时候可以自己搞个网站去耍,以后实在没活儿了也可以简历上写自己搭过一个完整的网站,至少hr知道你对这些不是一窍不通哈哈哈。11.就和在我的世界里面搭房子一样,我们先搞一个毫无美感的火柴盒,然后再在里面添置家具。你的左边然后会显示你的文件内容,你可以在这里编辑你的php文件呀html文件呀之类的。create table表名(字段 字段类型,字段 字段类型);
web安全SQL注入漏洞学习----初识sql(3)
yikexiancai的博客
03-18 361
改掉然后我们试着删除一下,有时候感觉自己和神经一样加了删,删了加,但就是要这样,不用担心之后会不会忘,就和搞xss我们俗称web三件套一样就是要混眼熟,至少我们再看网络源码的时候不会发怵(哦日这是什么我都不认识),至少看到后,(⊙o⊙)?这里我们可以看到我们把tp_steff里的hobby项名字改成了likesth并且嗷,把长度改为了30,注释改成了员工爱好,我一开始把名字改成了like结果一直错,搞半天like是个关键字相当于我 int int 了,妈耶有够倒霉的。吃了就拉,学了就用,开始实操一下。
web安全SQL注入漏洞学习----初识sql(2)
yikexiancai的博客
03-18 322
在这里我们使用了一个新的数据类型就是date然后还有一个tinyint 就是年龄不能是负数嘛,unsigned就是无符号,这俩算是关键字。跳出来一堆,大概就是表的一些细节上的东西,可能之后注入要常用,总之先了解到什么意思看到它不眼生就ok辣。这里我们看到的是当前我们数据库中的表是怎样的,但是想看我们具体的表是什么样子的就要使用查看表结构指令。原来是要具体设定表里面的内容,那我们就根据视频里的表来浅浅设置一下,玩儿一玩儿。好然后创建完赶快来看一下我们的成果,我们输入指令来查看我创建的表。
sql注入--1初识sql注入
技术骨干小李的博客
07-13 621
sql注入的迅速了解
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3719
web安全-SSTI模板注入漏洞
渗透攻防Web篇-SQL注入攻击中级
人人为我,我为人人
12-29 648
前言找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1、识别数据库 3.2、UNION语句提取数据 3.3、枚举数据库 3.4、窃取哈希口令 3.5、获取WebShell 第四节 SQL盲注利用 4.1、初识SQL盲注 4.2、SQL盲注入技术-基于布尔 4.3、SQL盲注入技术-基于时间 4.4、我们的好朋友-Python 正文 第三节 利用SQL注.
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
热门推荐
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 866
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-09 915
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-12 668
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全的全面指南
qq_42568323的博客
10-09 1106
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值