sql注入登陆(菜鸟级)
比如 我们登陆的时候身份验证,一般用如下代码
private void Login_Click(object sender, EventArgs e){string id=this.txt_id.Text;string pwd=this.txt_pwd.Text;//string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"' " ;string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"'" ;try{SqlConnection conn = new SqlConnection("server=localhost;database=test;user=sa;pwd=123456");conn.Open();SqlCommand cmd = new SqlCommand(query_Sql, conn);SqlDataAdapter adp = new SqlDataAdapter(cmd);DataTable dt = new DataTable();adp.Fill(dt);if (dt.Rows.Count != 0){MessageBox.Show("Login success~");}else{MessageBox.Show("Login failed~");}}catch (Exception ex){MessageBox.Show(ex.Message);}finally{conn.Close();}}
Sql注入就是在
string query_Sql="select * from UserR where Id='"+id+"' and Pwd='"+pwd+"'" ;这句话上通过做手脚,来混淆数据库服务器的视听。
比如当数据库服务器有一条记录Id='pc20131234',Pwd='123456'
显然在数据库执行sql语句执行的是 select * from UserR where Id=‘pc20131234’ and Pwd='123456'
其中123456是从密码框直接获取的
如果我在密码框中输入的不是123456,而是 123'or Pwd!=' 那么执行的sql语句就是 select * from UserR where Id=‘wz’ and Pwd='123' or Pwd!= ''
执行的效果很显然 就是通过了应用程序的逻辑验证。
当然了,如何获取知道密码字段是Pwd并不在我们讨论的范畴之内。更何况现在有很多防止sql注入的方法。所以此贴主要用于菜鸟级知识普及
sql注入登陆(菜鸟级)相关推荐
- Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...
- 参数化登陆防止SQL注入攻击
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; usin ...
- SQL注入 | 黑客入门篇(如何绕过密码登陆账号)
SQL注入详解 什么是SQL注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击, 而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登陆甚至篡改数据库. SQL注入 ...
- sql注入进阶/user-agent/基于报错的注入/保姆级教程/一看就会/
刚刚写了cisp安全工程与运营,写的我头昏脑胀,迷迷糊糊,接下来开始sql注入第五章节,也是最后一种注入类型"基于报错的盲注"与sqlmap,下一章就开始刷题,争取今天把sql注入 ...
- 【无标题】【2023最新版】超详细Sqlmap安装保姆级教程,SQL注入使用指南,收藏这一篇就够了
一.sqlmap简介 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入.目前支持的数据库有MySql.Oracle.Access.PostageSQL. ...
- 【转载】SQL注入进阶
被人黑怕了,每天在看别人怎么黑站,看到这文章还不错,就发上来了,希望大家提高安全意识啊, SQL注入天书 - ASP注入漏洞全接触 作者:NB联盟-小竹 来源:http://www.HackBase. ...
- 最详细的SQL注入相关的命令整理
最详细的SQL注入相关的命令整理 QUOTE: 1. 用^转义字符来写ASP(一句话***)文件的方法: ? http://192.168.1.5/display.asp?keyno=18 ...
- golang避免SQL注入
QL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞.可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取 ...
- 【转】ASP中的SQL注入
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一 部分程序员在编写代码的时候,没有对用户输入数据的合法性 ...
最新文章
- 一个基于长数据转化为宽数据的小软件---data_tran.exe
- oracle数据库可以存图片吗,如何往数据库(Oracle)里存储图片和文件
- 「 每日一练,快乐水题 」504. 七进制数
- linux shell用户交互,鱼 - 一个明智的和用户友好的交互式shell为Linux
- win10 uwp 改变鼠标
- 安卓学习笔记:使用PopupWindow创建简单菜单
- 网上骗子太多了:关于冒充儿童医院网站的例子
- 在线文本交集计算工具
- 企业信息化战略规划方法
- python图表导入word_使用python matplotlib 画图导入到word中如何保证分辨率
- Masm 如何调试汇编代码
- CSS设计美丽之百合花(小作品)
- [BZOJ 4763]雪辉
- 技术管理实战笔记-角色认知篇
- 3DsMax安装教程
- 一文带你读懂HTTP协议的前世今生
- css合格证,2016年汽车修理厂进出厂登记、检验、竣工出厂合格证管理制度.doc
- 21年研究生入学考试(哈尔滨工程大学)复试准备——《数据库系统》知识点总结
- sklearn之LASSO算法应用
- 达摩院视觉AI训练营-搭建身份证识别系统-学习笔记