本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。
SQL注入
首先从SQL注入存在的代码来看
假如这里的id没有过滤,我们就可以输入sql语句
例如:union 联合查询就可以改变这个 sql 语句
Web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询
SQL注入的危害
常见的SQL注入过程
SQL 分类
SQL简单的检测
示例:(这里用DVWA靶场 进行演示)
哪些地方可能存在注入漏洞?
如何寻找注入漏洞?
判断注入漏洞的依据
SQL注入流程
一、判断是否存在sql注入
盲注:即在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或尝试,这个过程成为盲注
二、判断sql注入是字符型还是数字型
$id数字型(id=$id)字符型 (id=’$id’)id=1 and 1=2 报错不报错
三、利用语句查询效果(具体操作看这篇文章: MySQL基础 ,翻到最后面)
Original: https://blog.csdn.net/weixin_43263566/article/details/128734293
Author: 正经人_____
Title: SQL注入简介与原理
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/814403/
转载文章受原作者版权保护。转载请注明原作者出处!