本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。
SQL注入
首先从SQL注入存在的代码来看
假如这里的id没有过滤,我们就可以输入sql语句
例如:union 联合查询就可以改变这个 sql 语句
Web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询
SQL注入的危害
常见的SQL注入过程
SQL 分类
SQL简单的检测
示例:(这里用DVWA靶场进行演示)
哪些地方可能存在注入漏洞?
如何寻找注入漏洞?
判断注入漏洞的依据
SQL注入流程
一、判断是否存在sql注入与sql注入的类型
盲注:即在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或尝试,这个过程成为盲注
二、判断sql注入是字符型还是数字型
进行闭合(就是输入:单引号或双引号)
三、利用语句查询效果(具体操作看这篇文章:MySQL基础,翻到最后面)
转载:https://blog.csdn.net/weixin_43263566/article/details/128734293
查看评论