文档章节

MYSQL之sql注入基础知识

o
 osc_z1hvg4cu
发布于 2018/04/24 19:48
字数 516
阅读 17
收藏 0

精选30+云产品,助力企业轻松上云!>>>

一、内联注释

4、单行注释,#后面直接加内容

     多行注释,/**/中间可以跨

二、注入语句   

 1.union联合查询:union操作符用于拼接两个或者多个select查询语句。

                              union中前后2个查询必须拥有相同的列数。

2、order by 语句: 默认按照升序进行排列

3、常用的函数

函数/语句 功能
user() 当前用户名
database() 当前所用数据库
current_user() 当前用户名(可以用来查看权限)
version() 数据库的版本
@@datadir 数据库的路径
load_file() 读文件操作
into outfile()/into dumpfile 写文件操作

 

三、sql注入读写文件的根本条件:

       1、数据库允许导入导出(secure_file_priv):show variables like "secure_file_priv";                 #secure_file_prive直接在my.ini文件里设置即可

       2、当前用户是否对文件具有读写权限(File_priv):查看当前用户 select current_user();

                                                                                    查看当前用户是否具有读写权限: select File_priv from mysql.user where user='root' and host='localhost';

四、字符串连接函数

    1、concat(str1,str2..)直接连接

    2、group_concat(str1,str2)使用逗号作为分隔符

    3、concat_ws(sep,str1,str2)函数使用第一个参数作为分隔符

 五、sql注入的本质

    把用户输入的数据当做代码执行

      1、用户能够控制输入;

      2、原本程序要执行的代码,拼接了用户输入的数据。

sql注入经常出现的地方:1、用户一切可以输入(可控)的地方

                                       2、数据库一切可能导入、导出的东西。

六、sql注入的分类

      根据数据的传输方式:GET型  POST型 COOKie型

      根据数据的类型:数字型、字符型

    根据注入的模式:基于联合查询的注入模式

                               基于报错的注入模式

                              基于布尔的盲注

                         基于时间的盲注

              堆查询的注入模式

七、sql注入的一般步骤

      1、求闭合字符

      2、选择注入模式

     3、爆数据库

     4、爆表名

    5、爆列名

    6、爆字段

 

      

 

     

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。

暂无文章

jQuery获取select onChange的值 - jQuery get value of select onChange

问题: I was under the impression that I could get the value of a select input by doing this $(this).val(); 我的印象是我可以通过执行$(this).val();来获取选择输入的值$(this).val()......

javail
37分钟前
13
0
道翰天琼解密宇宙信息大脑三者最核心奥秘,破解认知智能基础理论(群聊形式)

三体论是探索研究宇宙,信息和人类大脑三者关系的理论体系。是认知智能的奠基理论体系之一。宇宙和信息,信息和人类大脑,人类大脑和宇宙,三者之间存在着某种未被完全揭示的奥秘。三体论的核...

jackli2020
39分钟前
15
0
OSChina 周日乱弹 —— 这些照片能留存下来要感谢蛇不吃相机

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @薛定谔的兄弟 :分享洛神有语创建的歌单「我喜欢的音乐」: 《28》- ゴンチチ 手机党少年们想听歌,请使劲儿戳(这里) @FalconChen :真得学...

小小编辑
46分钟前
76
0
如何在视频中的对象后面添加图像

作者|PRATEEK JOSHI 编译|VK 来源|Analytics Vidhya 概述 在运动物体后面添加图像是一个典型的计算机视觉项目 了解如何使用传统的计算机视觉技术在视频中添加logo 介绍 我的一位同事向我提出...

人工智能遇见磐创
50分钟前
14
0
UKUI Desktop Environment

install $ sudo add-apt-repository ppa:ubuntukylin-members/ukui3.0$ sudo apt upgrade or $ sudo apt-get install curl$ curl -sL 'https://keyserver.ubuntu.com/pks/lookup?&op=get&......

qwfys
54分钟前
14
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部