溫馨提示×

溫馨提示×

您好，登錄后才能下訂單哦！

密碼登錄×

忘記密碼？

登錄注冊×

獲取短信驗證碼

其他方式登錄

點擊登錄注冊即表示同意《億速云用戶服務條款》

用戶登錄×

賬戶密碼登錄

請使用微信掃描上方二維碼

使用幫助

請求超時！

請點擊重新獲取二維碼

sql注入原理

發布時間：2020-06-21 15:47:46 來源：網絡閱讀：474 作者：wx5ad9bec4481db 欄目：安全技術

1.SQL注入
sql就是數據庫,像sql server,mysql,db2,postgresql,oracle等都是比較常見的數據庫,可以通過構造數據庫語句，也就是sql語句,進行增刪該查操作。
SQL注入是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。它是利用現有應用程序，將惡意的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過在Web表單中輸入惡意SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。
2.產生SQL注入原因
動態網站是通過腳本語言去調用數據庫從而完成整個網站的運作,,對網站進行操作時,只要是涉及數據庫的操作都會帶入數據庫進行查詢,若沒有任何限制,則可以輸入任意的查詢語句帶入數據庫查詢。
sql注入就是限制用戶輸入不嚴引起的,也就是過濾不嚴。
3.SQL注入分類
從參數類型可以分為：×××注入和字符型注入
從注入類型可以分為以下幾類:
(1)基于錯誤的有顯示位的注入
(2)基于錯誤的有數據庫報錯信息的注入
(3)基于錯誤的沒有數據庫報錯信息的盲注
(4)基礎時間的盲注
4.SQL注入經典流程
(1)判斷Web系統使用的腳本語言，發現注入點，并確定是否存在SQL注入漏洞
(2)判斷Web系統的數據庫類型
(3)判斷數據庫中表及相應字段的結構
(4)構造注入語句，得到表中數據內容
(5)查找網站管理員后臺，用得到的管理員賬號和密碼登錄
(6)結合其他漏洞，想辦法上傳一個Webshell
(7)進一步提權，得到服務器的系統權限
5.判斷SQL注入方法
(1)最常用的方式：直接在url后面輸入and 1=1頁面返回正常,and 1=2頁面返回錯誤，或者是直接加單引號報錯,則有可能存在sql注入；
(2)也可采用or或者xor來判斷；
(3)在沒有錯誤回顯的情況下可以采用and sleep(1)來判斷；
(4)也可采用數學計算，例如 id=2和id=3-1返回測界面一樣，則有可能存在sql注入。
總體來說,輸入的語句影響了數據庫的查詢結果,那么就極有可能存在sql注入。

向AI問一下細節

推薦閱讀：

免責聲明：本站發布的內容（圖片、視頻和文字）以原創、轉載和分享為主，文章觀點不代表本網站立場，如果涉及侵權請聯系站長郵箱：is@yisu.com進行舉報，并提供相關證據，一經查實，將立刻刪除涉嫌侵權內容。

上一篇新聞：
php獲取url擴展名的方法
下一篇新聞：
MongoDB 常用的命令

猜你喜歡

AI
助
手

產品服務

地區劃分

專題活動

幫助支持

關于我們

售后咨詢

7*24小時在線電話：400-100-2938

7*24小時在線 QQ：800811969

關注億速云

億速云公眾號

手機網站二維碼

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女