首页 > 数据库技术 > 详细

SQL注入详解

时间:2017-10-03 23:06:37      阅读:401      评论:0      收藏:0      [点我收藏+]

本文将从5个方面叙述SQL注入的一些问题,漏洞原理,测试,利用,危害,修复。接着介绍一些SQL注入的技巧东西。

  • 漏洞原理

    注入类漏洞是OWASP TOP 10常客,SQL注入占比应该很高。顺带科普一下注入类漏洞,包括SQL,OS,LDAP注入。

    SQL注入是发生在应用程序数据库层面的漏洞,当不可信的数据作为查询语句的一部分,发给解析器的时候,在设计不良得应用程序当中忽略检查,攻击者就可以欺骗解析器,执行计划外的命令。

案例:

String query = "SELECT * FROM accounts WHERE custID="+request.getParameter("id")+"" ;    当攻击者传进来的id参数为‘ or ‘1‘=‘1 时候

查询语句拼接成 SELECT * FROM accounts WHERE custID= ‘ or ‘1‘=‘1‘ ;

这个查询语句送到解析器里,解析执行后返回的结果为accounts表所有记录。更危险的攻击可能导致数据被篡改甚至存储过程被调用。

  • 漏洞测试

    手工测试:

SQL注入详解

原文:http://www.cnblogs.com/pdoge/p/7624681.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!