SQL 注入攻击:简介与原理
本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。
SQL注入
首先从SQL注入存在的代码来看
假如这里的id没有过滤,我们就可以输入
例如:union 联合查询就可以改变这个 sql 语句
Web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询
SQL注入的危害
常见的SQL注入过程
SQL 分类
SQL简单的检测
示例:(这里用进行演示)
哪些地方可能存在注入漏洞?
如何寻找注入漏洞?
判断注入漏洞的依据
SQL注入流程
一、判断是否存在sql注入与sql注入的类型
盲注:即在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或尝试,这个过程成为盲注
二、判断sql注入是字符型还是数字型
进行闭合(就是输入:单引号或双引号)
输入:’ 单引号报错,数字型 输入:" 双引号报错字符型
三、利用语句查询效果(具体操作看这篇文章:,翻到最后面)
上一篇:
Java架构师技术进阶路线图
下一篇:
一分钟搞懂中小型企业网络架构