中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

SQL注入攻擊的原理是什么

小編給大家分享一下SQL注入攻擊的原理是什么,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

成都創(chuàng)新互聯(lián)公司自2013年創(chuàng)立以來,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都網(wǎng)站建設(shè)、網(wǎng)站制作網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元南安做網(wǎng)站,已為上家服務(wù),為南安各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

sql注入攻擊的原理

惡意用戶在提交查詢請求的過程中將SQL語句插入到請求內(nèi)容中,同時程序本身對用戶輸入內(nèi)容過分信任而未對惡意用戶插入的SQL語句進(jìn)行過濾,導(dǎo)致SQL語句直接被服務(wù)端執(zhí)行。

SQL注入攻擊分類

(1)注入點(diǎn)的不同分類

數(shù)字類型的注入字符串類型的注入

(2)提交方式的不同分類

GET注入POST注入COOKIE注入HTTP注入

(3)獲取信息的方式不同分類

基于布爾的盲注基于時間的盲注基于報錯的注入

SQL注入攻擊案例:

1、查看文章的注入案例:

查看某篇文章的url參數(shù)為:?id=1

則通過注入命令:?id=1 or 1=1,則可以列出整個數(shù)據(jù)表里面的所有文章。

如果查看用戶是通過user_id來訪問,如:?uid=1

則通過注入命令:?id=1 or 1=1, 則可以把整個用戶表的記錄全部顯示出來

SQL命令如下:

通過?id=1的SQL命令為:select * from article where id=1,此語句查詢到1條結(jié)構(gòu)

通過?id=1 and 1=1的SQL命令為:select * from article where id=1 or 1=1,此語句查詢到整個表的記錄

2、用戶登錄的注入案例:

登錄表單有user_name字段,查詢語句為:select * from users where nickname='{user_name}'

則可以在user_name文本框填入:(' or 1='1),這樣可以構(gòu)造出注入的SQL命令:select * from users where user_name='' or 1='1',這樣很容易就進(jìn)入系統(tǒng)了。

3、SQL注入猜表:

在登錄頁面的用戶名字段填入:(' or 1=(select count(0) from t_porg_document) or 1='1),可以構(gòu)造出注入的SQL命令:select * from users where user_name='' or 1=(select count(0) from recharge) or 1='1'

這樣就可以猜測是否recharge表存在.存在則語句正常執(zhí)行,否則就報錯了。

猜中表名后,就可以對數(shù)據(jù)表進(jìn)行增刪改查的操作,如:

在登錄頁面的用戶名字段填入:('; delete from users),可以構(gòu)造出危險的SQL命令:select * from users where user_name=''; delete from users;

通過加分號,可以構(gòu)造出任意增刪改查sql語句,整個數(shù)據(jù)庫就被攻擊者隨意控制了。

以上是“SQL注入攻擊的原理是什么”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學(xué)習(xí)更多知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道!

文章題目:SQL注入攻擊的原理是什么
瀏覽路徑:http://www.rwnh.cn/article40/pgseho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、電子商務(wù)、網(wǎng)站營銷微信公眾號、網(wǎng)站導(dǎo)航網(wǎng)站設(shè)計公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)
邯郸市| 阳泉市| 桂阳县| 辽阳市| 高碑店市| 县级市| 郑州市| 玛多县| 吉安市| 靖州| 定陶县| 禄劝| 西乌珠穆沁旗| 七台河市| 昌图县| 盱眙县| 镇雄县| 榆林市| 凤凰县| 当阳市| 讷河市| 兰坪| 永春县| 金昌市| 扶余县| 天津市| 浦城县| 苗栗县| 南平市| 闻喜县| 宣城市| 申扎县| 黔西县| 察哈| 宁波市| 黄陵县| 射阳县| 政和县| 怀来县| 鄱阳县| 宝兴县|