比如 我们登陆的时候身份验证,一般用如下代码

private void Login_Click(object sender, EventArgs e){string id=this.txt_id.Text;string pwd=this.txt_pwd.Text;//string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"' " ;string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"'" ;try{SqlConnection conn = new SqlConnection("server=localhost;database=test;user=sa;pwd=123456");conn.Open();SqlCommand cmd = new SqlCommand(query_Sql, conn);SqlDataAdapter adp = new SqlDataAdapter(cmd);DataTable dt = new DataTable();adp.Fill(dt);if (dt.Rows.Count != 0){MessageBox.Show("Login success~");}else{MessageBox.Show("Login failed~");}}catch (Exception ex){MessageBox.Show(ex.Message);}finally{conn.Close();}}

Sql注入就是在

string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"'" ;这句话上通过做手脚,来混淆数据库服务器的视听。

比如当数据库服务器有一条记录Id='pc20131234',Pwd='123456'

显然在数据库执行sql语句执行的是 select * from UserR where Id=‘pc20131234’ and Pwd='123456'

其中123456是从密码框直接获取的

如果我在密码框中输入的不是123456,而是    123'or Pwd!='   那么执行的sql语句就是 select * from UserR where Id=‘wz’ and Pwd='123' or Pwd!= ''

执行的效果很显然 就是通过了应用程序的逻辑验证。

当然了,如何获取知道密码字段是Pwd并不在我们讨论的范畴之内。更何况现在有很多防止sql注入的方法。所以此贴主要用于菜鸟级知识普及

sql注入登陆(菜鸟级)相关推荐

  1. Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

    前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...

  2. 参数化登陆防止SQL注入攻击

    using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; usin ...

  3. SQL注入 | 黑客入门篇(如何绕过密码登陆账号)

    SQL注入详解 什么是SQL注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击, 而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登陆甚至篡改数据库. SQL注入 ...

  4. sql注入进阶/user-agent/基于报错的注入/保姆级教程/一看就会/

    刚刚写了cisp安全工程与运营,写的我头昏脑胀,迷迷糊糊,接下来开始sql注入第五章节,也是最后一种注入类型"基于报错的盲注"与sqlmap,下一章就开始刷题,争取今天把sql注入 ...

  5. 【无标题】【2023最新版】超详细Sqlmap安装保姆级教程,SQL注入使用指南,收藏这一篇就够了

    一.sqlmap简介 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入.目前支持的数据库有MySql.Oracle.Access.PostageSQL. ...

  6. 【转载】SQL注入进阶

    被人黑怕了,每天在看别人怎么黑站,看到这文章还不错,就发上来了,希望大家提高安全意识啊, SQL注入天书 - ASP注入漏洞全接触 作者:NB联盟-小竹 来源:http://www.HackBase. ...

  7. 最详细的SQL注入相关的命令整理

    最详细的SQL注入相关的命令整理   QUOTE: 1.   用^转义字符来写ASP(一句话***)文件的方法: ?   http://192.168.1.5/display.asp?keyno=18 ...

  8. golang避免SQL注入

    QL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞.可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取 ...

  9. 【转】ASP中的SQL注入

    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一 部分程序员在编写代码的时候,没有对用户输入数据的合法性 ...

最新文章

  1. 一个基于长数据转化为宽数据的小软件---data_tran.exe
  2. oracle数据库可以存图片吗,如何往数据库(Oracle)里存储图片和文件
  3. 「 每日一练,快乐水题 」504. 七进制数
  4. linux shell用户交互,鱼 - 一个明智的和用户友好的交互式shell为Linux
  5. win10 uwp 改变鼠标
  6. 安卓学习笔记:使用PopupWindow创建简单菜单
  7. 网上骗子太多了:关于冒充儿童医院网站的例子
  8. 在线文本交集计算工具
  9. 企业信息化战略规划方法
  10. python图表导入word_使用python matplotlib 画图导入到word中如何保证分辨率
  11. Masm 如何调试汇编代码
  12. CSS设计美丽之百合花(小作品)
  13. [BZOJ 4763]雪辉
  14. 技术管理实战笔记-角色认知篇
  15. 3DsMax安装教程
  16. 一文带你读懂HTTP协议的前世今生
  17. css合格证,2016年汽车修理厂进出厂登记、检验、竣工出厂合格证管理制度.doc
  18. 21年研究生入学考试(哈尔滨工程大学)复试准备——《数据库系统》知识点总结
  19. sklearn之LASSO算法应用
  20. 达摩院视觉AI训练营-搭建身份证识别系统-学习笔记

热门文章

  1. codeforces 1669F
  2. STM32单片机控制A1333角度传感器磁编码器
  3. js 刮一刮_刮擦刮擦
  4. 样本均值的分布及中心极限定理
  5. .NET中LinkButton的使用
  6. 华东地区博友链接集合(陆续增加中)
  7. Excl2016密码忘记 破解办法
  8. 《算法分析与设计》练习6
  9. java jni c 指针_通过JNI传递C和Java之间的指针
  10. Linux 7 种文件类型