当前位置:首页 > 大杂烩 > 正文内容

sql注入的检测

高老师9年前 (2017-08-27)大杂烩1898

SQL注入是因为开发者没有过滤GET/POST的参数导致参数传入mysql语句拼接成注入语句导致.

网上很多作者使用and 1=1   and 1=2来检测是否可以注入.

例如http://xxxxxx.com/ProductShow.asp?articleid=143(详细地址不透漏.)

ProductShow.asp用于显示指定的文章id的文章内容,其文件内容可能是:

<%

id=Request.QueryString("id")

select *  from  article where id=id

%>

正常用户访问生成的SQL语句:

select *  from  article where id=143

检测注入生成SQL语句:

select *  from  article where id=143 and 1=1 [正常访问]
select *  from  article where id=143 and 1=2 [出错或者没有查询到文章]

为什么我们说and 1=1正常 1=2出错 就可能存在注入,因为只要没有开发者没有对参数过滤我们的SQL拼接执行了就是可能存在注入

扫描二维码推送至手机访问。

版权声明:本文由高久峰个人博客发布,如需转载请注明出处。

本文链接:https://blog.20230611.cn/post/491.html

分享给朋友:

“sql注入的检测” 的相关文章

Git本地仓库学习

Git本地仓库学习

1.全局用户信息设置 git  config  --global  user.name  gaojiufeng git  config  --global  user.email  392223903...

PHP安装mongodb扩展

PHP安装mongodb扩展

在安装之前我们先看看官方给出的依赖关系.首先是dll文件和mongodb软件的依赖关系然后是PHP文件和dll的依赖关系我的是phpstudy的集成环境PHP5.4.45 NTS+Apache+Mysql【一】.安装mongodb3.0软件对比依赖关系下载mongodb3.0.msi软件,完整名称:...

C# md5加密,C# md5加密代码

C# md5加密,C# md5加密代码

public static string GetMD5(string str) {     //创建MD5对象     MD5 md5 = MD5.C...

navicat for mysql 11.1.13 企业破解版

navicat for mysql 11.1.13 企业破解版

navicat for mysql 11.1.13 企业破解版.绿色软件免安装,请直接打开安装说明.一定要看说明.下载地址:          http://pan.baidu.com/s/1dFINxNN下载链接失效,直接点击上方QQ呼叫...

VMware CentOS网络连接设置

VMware CentOS网络连接设置

1.设置桥接模式,复制物理网络状态2.编辑/etc/sysconfig/network-scripts/ifcfg-eth0以下配置:(如果没有自己创建对应选项)ONBOOT=yes NM_CONTROLLED=noBOOTPROTO=staticIPADDR=192.168.2.240...

redis所有key命令,redis key命令

redis所有key命令,redis key命令

1.设置key的value     set name gao2.获取key的value     get name3.删除key            del key1 key2 ... Keyn4.修...