初識SQL注入
什麼是SQL注入(SQL Injection)?html
SQL注入是網站攻擊途徑之一,這裏引用一下百度百科的解釋:「所謂SQL注入,就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令」。sql
簡單示例數據庫
網站的登陸界面,須要用戶輸入用戶名和密碼來進行登陸,若是網站開發者在開發時沒有考慮對SQL注入加以防範,則惡意攻擊者就能夠經過在用戶名和密碼輸入框中添加特定的SQL語句,以達到查詢後臺數據庫獲取數據,甚至對後臺數據庫中的數據形成破壞的目的。服務器
網站全部用戶的用戶名和密碼通常都保存在後臺數據庫的表中,當用戶輸入用戶名和密碼時,經過執行諸以下面形式的查詢語句來驗證用戶名和密碼是否輸入正確。測試
select * from login where username='XXX' and password='YYY'網站
若是惡意攻擊者對用戶名和密碼分別輸入XXX和password' OR 1=1,則驗證用戶名和密碼時將執行這樣的語句:htm
select * from login where username='XXX' and password='password' OR 1=1blog
由於1=1永遠爲真,所以若是開發者沒有采起任何措施驗證用戶輸入,就會使得攻擊者在無需知道正確的用戶名和密碼的狀況下輕易的登陸成功。開發
如何測試SQL注入漏洞字符串
做爲Tester,最關注的就是如何測試SQL注入漏洞,基於我目前的理解,那就是:以黑客的心態,經過各類SQL注入方法,來攻擊被測目標。所以,掌握各類SQL注入方法很重要。本文的參考資料中介紹了一些SQL注入方法,之後有時間,再進行research整理SQL注入方法吧:)
參考資料:
相關文章
- 1. sql注入初探
- 2. SQL注入初瞭解
- 3. 初探SQL注入--安全
- 4. SQL入門教程-初識
- 5. SQL注入基礎知識
- 6. 簡單認識SQL注入
- 7. 初識SQL
- 8. SQL Server2005—初識
- 9. 初識SQL workbench
- 10. 02、初識SQL
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • YAML 入門教程
- • 適用於PHP初學者的學習線路和建議
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他進程嵌入到qt FindWindow獲得窗口句柄 報錯無法鏈接的外部符號 [email protected] 無法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的應用-TOPK問題
- 6. 實例演示ElasticSearch索引查詢term,match,match_phase,query_string之間的區別
- 7. 數學基礎知識 集合
- 8. amazeUI 復擇框問題解決
- 9. 揹包問題理解
- 10. 算數平均-幾何平均不等式的證明,從麥克勞林到柯西
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. sql注入初探
- 2. SQL注入初瞭解
- 3. 初探SQL注入--安全
- 4. SQL入門教程-初識
- 5. SQL注入基礎知識
- 6. 簡單認識SQL注入
- 7. 初識SQL
- 8. SQL Server2005—初識
- 9. 初識SQL workbench
- 10. 02、初識SQL