SQL注入攻擊
什麼是SQL注入攻擊?
所謂SQL注入,就是經過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。php
SQL注入原理:mysql
web架構一般爲三層:
web
表示層、邏輯層、存儲層sql
SQL注入過程:數據庫
轉義字符處理不當服務器
// 構造動態SQL語句cookie
$sql = "select * from tbl where field = '$_GET['input']'";架構
// 執行SQL語句post
$res = mysql_query($sql);測試
測試:
在下邊的網址後邊加一個單引號,就會報數據庫錯誤
http://testphp.vulnweb.com/artists.php?artist=1
2.類型處理不當
// 構造動態SQL語句
$sql = "select * from tbl where field = $_GET['user_id']";
// 執行SQL語句
$res = mysql_query($sql);
Mysql內置了一個命令,能夠讀取文件
* Union all select load_file('/etc/passwd')--
select * from tbl where userid = 1 union all select load_file('etc/passwd')--
該命令會獲取數據庫管理員的密碼
3.查詢語句組織不當
user.php?table=user&
4.錯誤處理不當
即將站點的錯誤信息暴漏給用戶,這樣很是危險。
// 構造動態查詢語句
$getid = "select * from tbl where userid > 1";
// 執行SQL語句
$res = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>');
5.多個提交處理不當
// 參數是不是一個字符串
if(is_string($_GET["param"])){}
問題:
1.若是web站點禁止輸入單引號字符,是否能夠避免SQL注入?
尋找SQL注入的方法:
經過get請求
經過post請求
其餘http請求,如cookie
- 1. SQL注入攻擊
- 2. 【SQL】SQL注入攻擊(一)
- 3. SQL 注入、XSS 攻擊、CSRF 攻擊
- 4. xss攻擊和SQL注入攻擊
- 5. XSS攻擊? CSRF攻擊 ? sql注入?
- 6. sql注入,xxs攻擊和csrf攻擊
- 7. sql 注入 - 帶外攻擊
- 8. SQL注入和XSS攻擊
- 9. 聊聊 SQL 注入攻擊
- 10. SQL注入攻擊概述
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • YAML 入門教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 在windows下的虛擬機中,安裝華爲電腦的deepin操作系統
- 2. 強烈推薦款下載不限速解析神器
- 3. 【區塊鏈技術】孫宇晨:區塊鏈技術帶來金融服務的信任變革
- 4. 搜索引起的鏈接分析-計算網頁的重要性
- 5. TiDB x 微衆銀行 | 耗時降低 58%,分佈式架構助力實現普惠金融
- 6. 《數字孿生體技術白皮書》重磅發佈(附完整版下載)
- 7. 雙十一「避坑」指南:區塊鏈電子合同爲電商交易保駕護航!
- 8. 區塊鏈產業,怎樣「鏈」住未來?
- 9. OpenglRipper使用教程
- 10. springcloud請求一次好用一次不好用zuul Name or service not known
- 1. SQL注入攻擊
- 2. 【SQL】SQL注入攻擊(一)
- 3. SQL 注入、XSS 攻擊、CSRF 攻擊
- 4. xss攻擊和SQL注入攻擊
- 5. XSS攻擊? CSRF攻擊 ? sql注入?
- 6. sql注入,xxs攻擊和csrf攻擊
- 7. sql 注入 - 帶外攻擊
- 8. SQL注入和XSS攻擊
- 9. 聊聊 SQL 注入攻擊
- 10. SQL注入攻擊概述