91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SQL注入攻擊的原理是什么

發布時間:2021-01-15 10:06:17 來源:億速云 閱讀:457 作者:小新 欄目:數據庫

小編給大家分享一下SQL注入攻擊的原理是什么,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

sql注入攻擊的原理

惡意用戶在提交查詢請求的過程中將SQL語句插入到請求內容中,同時程序本身對用戶輸入內容過分信任而未對惡意用戶插入的SQL語句進行過濾,導致SQL語句直接被服務端執行。

SQL注入攻擊分類

(1)注入點的不同分類

數字類型的注入字符串類型的注入

(2)提交方式的不同分類

GET注入POST注入COOKIE注入HTTP注入

(3)獲取信息的方式不同分類

基于布爾的盲注基于時間的盲注基于報錯的注入

SQL注入攻擊案例:

1、查看文章的注入案例:

查看某篇文章的url參數為:?id=1

則通過注入命令:?id=1 or 1=1,則可以列出整個數據表里面的所有文章。

如果查看用戶是通過user_id來訪問,如:?uid=1

則通過注入命令:?id=1 or 1=1, 則可以把整個用戶表的記錄全部顯示出來

SQL命令如下:

通過?id=1的SQL命令為:select * from article where id=1,此語句查詢到1條結構

通過?id=1 and 1=1的SQL命令為:select * from article where id=1 or 1=1,此語句查詢到整個表的記錄

2、用戶登錄的注入案例:

登錄表單有user_name字段,查詢語句為:select * from users where nickname='{user_name}'

則可以在user_name文本框填入:(' or 1='1),這樣可以構造出注入的SQL命令:select * from users where user_name='' or 1='1',這樣很容易就進入系統了。

3、SQL注入猜表:

在登錄頁面的用戶名字段填入:(' or 1=(select count(0) from t_porg_document) or 1='1),可以構造出注入的SQL命令:select * from users where user_name='' or 1=(select count(0) from recharge) or 1='1'

這樣就可以猜測是否recharge表存在.存在則語句正常執行,否則就報錯了。

猜中表名后,就可以對數據表進行增刪改查的操作,如:

在登錄頁面的用戶名字段填入:('; delete from users),可以構造出危險的SQL命令:select * from users where user_name=''; delete from users;

通過加分號,可以構造出任意增刪改查sql語句,整個數據庫就被攻擊者隨意控制了。

以上是“SQL注入攻擊的原理是什么”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

永顺县| 丰县| 莱州市| 富阳市| 安塞县| 浮山县| 故城县| 邯郸县| 定边县| 黔西县| 铜陵市| 唐山市| 新昌县| 稻城县| 盐亭县| 清徐县| 惠州市| 淮滨县| 布尔津县| 即墨市| 德州市| 兰坪| 孝义市| 云和县| 通州市| 芮城县| 牡丹江市| 白城市| 广东省| 益阳市| 石棉县| 衡东县| 婺源县| 霍州市| 安康市| 平邑县| 彰化县| 东方市| 肇源县| 德钦县| 灵丘县|