sql注入,就是通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將(惡意的)sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入(惡意)sql語句得到乙個存在安全漏洞的**上的資料庫,而不是按照設計者意圖去執行sql語句。比如先前的很多影視**洩露vip會員密碼大多就是通過web表單遞交查詢字元暴出的,這類表單特別容易受到sql注入式攻擊.
sql注入漏洞產生的原理是因為伺服器對使用者輸入引數過濾不嚴格,將含有惡意**的引數代入資料庫查詢語句中並執行。
sql注入漏洞中常用的函式與語法:
1.group_concat():將select的查詢結果全部顯示出來,佔乙個顯示位
2.select version():查詢mysql版本
3.select user():查詢資料庫使用者名稱
4.select database():查詢資料庫名
5.select @@datadir():查詢資料庫的絕對路徑
6.select @@version_compile_os:查詢作業系統版本
7.select current_user():查詢當前使用者
8.union select:聯合查詢
9.limit:限制顯示個數
10.order by:找列的數量
SQL注入預習
結構化查詢語言 structured query language 簡稱sql,是一種特殊目的的程式語言,是一種資料庫查詢和程式語言,用於訪問資料以及查詢 更新和管理關係資料庫系統 同時也是資料庫指令碼檔案的副檔名。結構化查詢語言是高階的非過程化程式語言,允許使用者在高層資料結構上工作。它不要求使用...
SQL注入漏洞
sql注入漏洞曾經是web應用程式的噩夢,cms bbs blog無一不曾受其害。sql注入的原理 以往在web應用程式訪問資料庫時一般是採取拼接字串的形式,比如登入的時候就是根據使用者名稱和密碼去查詢 string sql select top 1 from user where username...
SQL注入漏洞
sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令,比如先前的很多影視 洩露vip會員密碼大多就是通過web表單遞交查詢字元暴出的,這類表單特別容易受到sql注入式攻擊 sql注入的發生 當應用程式使用輸入內容來構造動態sq...