文档章节

SQL注入举例(来自wiki)

猪迪
 猪迪
发布于 2014/10/10 22:39
字数 136
阅读 21
收藏 0

某个网站的登录验证的SQL查询代码为

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入

userName = "'1' OR '1'='1'";

passWord = '"1' OR '1'='1'";

时,将导致原本的SQL字符串被填为

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

strSQL = "SELECT * FROM users;"

因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。


© 著作权归作者所有

猪迪
粉丝 6
博文 134
码字总数 180528
作品 0
海淀
程序员
私信 提问
加载中

评论(3)

猪迪
猪迪
http://msdn.microsoft.com/zh-cn/library/ms161953.aspx
猪迪
猪迪
SQL防注入系统
参数化查询
PHP魔术引号自动将所有的网页传入参数,将单引号字符取代为连续2个单引号字符
ASP.NET的SqlDataSource对象或是 LINQ to SQL
猪迪
猪迪
进一步攻击(例如SELECT * FROM sys.tables)
系统管理员账户被窜改(例如ALTER LOGIN sa WITH PASSWORD='xxxxxx')
xp_cmdshell "net stop iisadmin"可停止服务器的IIS服务
破坏硬盘数据,瘫痪全系统(例如xp_cmdshell "FORMAT C:")
关于SQL 注入

1 SQL注入案例 案例1: 某网站后台管理平台测试环境 *:50052/csop/main.do 在登录界面用户名输入 system' or '1'='1 ,密码随意输入.之后输入验证码,点击登录,提示登录出错,后访问上方提供的网...

周翔
2016/08/24
44
0
PostgreSQL psql 绘制饼图

标签 PostgreSQL , SQL , PLPGSQL , 绘制饼图 背景 图像相比文字是更容易被理解的东西,在BI可视化领域,经常会使用图像来代替数值,展示一些信息,例如柱状图、饼图、线图等。 AWR文字报告里...

德哥
04/14
0
0
3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案

随着互联网的普及,网络安全变得越来越重要。Java等程序员需要掌握基本的web安全知识,防患于未然,下面列举一些常见的安全漏洞,以及对应的防御解决方案。 常见的Web安全问题 1.前端安全 XS...

凯文加内特
02/26
0
0
ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法

ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件 根据官方文档对"防止SQL注入"的方法解释(见http://doc.thinkphp.cn/manual/sql_injecti......

史帝文
2016/11/05
80
0
通过HTTP Headers 进行SQL注入

关于作者 Yasser Aboukir是一位国家级的工程师,信息安全顾问,以及it学院的研究员。他是摩洛哥网络安全挑战的创始人,摩洛哥OWASP的成员。目前致力于网站应用程序,渗透性测试方法和安全管理标...

zhouxingxing
2012/04/12
4.5K
0

没有更多内容

加载失败,请刷新页面

加载更多

texlive安装

Installing to: D:/bin/texlive/texlive/2019Installing [001/307, time/total: ??:??/??:??]: adobemapping [2130k]Installing [002/307, time/total: 00:03/08:57]: ae [84k]Installing......

MtrS
22分钟前
2
0
运维规范

命名规范 发布流程 监控告警 故障定位 状态 日志 监控

以谁为师
今天
2
0
约瑟夫环(报数游戏)java实现

开端 公司组织考试,一拿到考题,就是算法里说的约瑟夫环,仔细想想 以前老师将的都忘了,还是自己琢磨把~ package basic.gzy;import java.util.Iterator;import java.util.LinkedList;...

无极之岚
今天
3
0
Kernel字符设备驱动框架

Linux设备分为三大类:字符设备,块设备和网络设备,这三种设备基于不同的设备框架。相较于块设备和网络设备,字符设备在kernel中是最简单的,也是唯一没有基于设备基础框架(device结构)的...

yepanl
今天
3
0
Jenkins 中文本地化的重大进展

本文首发于:Jenkins 中文社区 我从2017年开始,参与 Jenkins 社区贡献。作为一名新成员,翻译可能是帮助社区项目最简单的方法。 本地化的优化通常是较小的改动,你无需了解项目完整的上下文...

Jenkins中文社区
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部