SQL注射漏洞 | Time_泽~少的博客
  • 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

SQL注射漏洞

SQL注射漏洞

SQL注入(SQL Injection)就是通过把SQL命令插入到Web表单递交 或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意 的SQL命令。

具体来说,SQL Injection是利用现有应用程序,将(恶意)的SQL命 令注入到后台数据库引擎执行的过程,它可以通过在Web表单中输入 (恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是 按照设计者意图去执行SQL语句。

当我们输入www.sample.com?testid=23时,我们在URL中传递变量 testid,并且提供值为23,由于它是对数据库进行动态查询的请求(其 中?testid=23表示数据库查询变量),所以我们可以在该URL中嵌入 恶意SQL语句。

SQL示意代码如下: SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1)

假设现在要求获取Department表中的所有数据,而且必须保留WHERE语句,那只要确保 WHERE恒真就OK了,SQL示意代码如下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1) OR 1 = 1

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: SQL注射漏洞

SQL注射漏洞



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明SQL注射漏洞
喜欢 (1)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填