当前位置:网站首页>SQL注入(1)
SQL注入(1)
2022-08-09 03:04:00 【CHIAJ176】
SQL注入
SQL注入的原因
语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接有使用该语言的计算机执行这些指令。
在解释型语言中,如果程序与用户进行交互。用户就可以构造特殊的输入来拼接到程序中执行,从而使得程序依据用户输入执行有可能存在恶意行为代码。
例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。
select * from admin where usename = '用户输入的用户名' and password = '用户输入的密码';
#登录SQL语句
用户输入的内容可由用户自行控制,例如可以输入'or 1=1 --空格
select * from admin where usename = ''or 1=1 -- ' and password = '用户输入的密码' ;
#' and password = '用户输入的密码'这些都被注释掉了,其中1=1永远为真,因此会返回admin表的所有内容
CMS SQL注入
CMS逻辑:index.php首页展示内容,具有文章列表(链接具有文章id)、articles.php文章详细页,URL中article.php?id=文章id读取id文章。
SQL注入验证:
1、单引号 ’
2、and 1=1
3、and 1=2
如果页面中Mysql报错,证明该页面存在SQL注入漏洞。
Sqlmap基本使用
Sqlmap是检测和利用SQL注入漏洞的一款强大工具。
边栏推荐
猜你喜欢
Jenkins environment deployment, (packaging, publishing, deployment, automated testing)
Kubernetes:(十三)secret与configmap的那些事
图论相关知识
DSP28379学习笔记 (一)——GPIO基本操作
online schema change and create index
"Lonely Walking on the Moon": Two choices of Duguyue, let a "middleman" become a big hero
浅聊一下那些营销工具—优惠券
OpenLORIS-Object Datasets
下秒数据CEO蔡致暖受邀参加联合数据举办《数据要素加速跑》线上沙龙
让历史文化“活”起来,北京河图“万象中轴”助力打造北京城市金名片
随机推荐
数学基础(四)极大似然估计、误差的高斯分布与最小二乘估计的等价性
Shell脚本:函数
i18n 国际化
lvs+keepalived高可用负载均衡集群
2027年加密市场将会发生什么?思维的跨越?长期预测无法脱离形势变化
JavsScript系列-Promise的错误捕获
20220523搜索和排序:搜索旋转排序数组
交换VLAN实验
ros入门(安装)
sql语句实现按顺序排序而不是拼音首字母排序
2022微服务面试题 最新50道题(含答案解析)
C专家编程 第9章 再论数组 9.1 什么时候数组与指针相同
Jenkins environment deployment, (packaging, publishing, deployment, automated testing)
网路编程_socket返回值
CI/CD:持续集成/持续部署(难舍难分)
hcip MPLS 实验
iFLYTEK Written Exam Questions Review
126. 单词接龙 II
开发工程师必备————【Day05】UDP协议;进程的并发与并行
Celery进阶_任务优先级分配