东坡下载:内容最丰富最安全的下载站!

首页编程开发数据库 → sql注入测试经验教程

sql注入测试经验教程

相关文章发表评论 来源:本站原创时间:2013/11/9 20:50:22字体大小:A-A+

更多

作者:不详点击:339次评论:0次标签: sql

sql server 2008补丁包
类型:国外软件大小:488M语言:多国语言[中文]时间:16-03-21评分:10.0
SQL Server 2008 sp4补丁
类型:国外软件大小:386.7M语言:中文时间:16-03-28评分:5.0

登录注入
先看一个我们一般用的登录页面sql语句(原生态php执行的sql)
$sql = "select * from users where username = '$username' and password = '$password'";
对于这种sql,对应一个万能密码和用户名:

万能密码: xx' or 1='1
万能用户名: xx' union select * from users/*
执行时mysql解释为:
$sql = select * from users where username = '$username' and password = ' xx' or 1='1'
不解释,瞬间破解

同样,上面是在sql语句中查询字段后的输入值加了单引号,有些时候尤其是初级程序员经常对变量不加单引号:

$sql = "select * from users where username = $username and password = $password";

这时mysql解释会被当做数字型字段来匹配

万能密码: 11 union select * from users/*

执行语句:

select * from users where username =11union select * from users/* and password = 54

查询注入

这个比较好理解,一般在页面的搜索框点击按钮搜索时在后台sql中可能会用like来查询,但如果没有加任何处理,可能输入一个% 或 __ 就会注入到sql中查询全部或部分记录,不过在php中可以使用一个函数来处理一下:

$keyword = addslashes($keyword);$keword = str_replace("%","\$",$kwyword);


插入注入

我们先模拟一个网站注册页面的sql处理语句:

insert into users(username,password,grade) values('frank','123456','1');

假如users表中grade为等级字段,并且默认字段为1,注册时用户输入用户名和密码两个字段后,后台插入语句为上面语句,则当用户输入的密码为 123456','3')/*时,执行sql为:

insert into users(username,password,grade) values('frank','123456','3')/*,'1';

这样也可以达到注入的目的

解决sql注入: 

①. 在服务器设置将php.ini配置文件中magic_quotes_gpc设置为On

服务器会自动将单引号转义为:\'

不过攻击时可以将单引号写为char(13)-单引号ASCII码,也一样可以攻击

②. 密码比对

通过输入的用户名获取密码,再对密码进行匹配

$sql  = "select * from users where username ='frank'"

$result = mysql_query($sql,$conn);

$row = mysql_fetch_array($result);

if($row['password'] != $password) ...

③. 使用pdo的PDO::prepare()预处理操作

PDO(PHP Data Object)扩展在PHP5中加入,PHP6默认识别PDO连接数据库,pdo相当于是一个数据库抽象层,不同数据库使用相同的方法名,解决数据库连接不同意问题。

工作原理如下:

(使用时需先在php.ini中开启对pdo扩展的支持)


$sql = "select * from users where username=? and password=?"; //创建一个pdo对象 $mypdo = new PDO("mysql:host=localhost;port=3306;dbname=xx","root","123456"); //设置编码 $mypdo->exec("set names utf8"); //预处理$sql $pdostatement = $mypdo->prepare(%sql); //将用户名和密码填入sql $pdostatement->execute(array($username,$password)); //得到查询结果 $result = $pdostatement->fetch(); if(empty($result)) ...


④. 其他企业级解决sql注入方式:IDS(入侵检测系统)

关于sql注入对于开发工程师来说主要是防守,提高编写安全代码的意识,让我们编写的代码质量更高,安全性方面更好。

  • 共享电动单车
  • 合肥app大全
  • 抗癌
  • 声母韵母ppt
共享电动单车
(44)共享电动单车

共享电动单车是一种新的交通工具,通过扫码开锁,循环共享。目前市场主要有:小蜜电动单车、享骑电单车、芒果电单车、途尔电单车、七号电单车、蜜蜂出行、177共享电动车、猎吧出行,功能都是大同小异的,这里为您提供的是各企业专用的app,希望能帮助到您的出行。

共享电动单车一小时能跑多少公里

这要看电动车几v的,电机几瓦的。48v,电机500瓦的载个人可以开到40/每小时。60v电机1000瓦可以开到50/每小时。像自行车一样的电动车就是每小时30km最高了。新国标规定是25/每小时。70V的电池原则上是没有的。目前的铅蓄电池是12V/块拼装,多用的是3块、4块串联,即36V、48V,另有18V的四块串联为64V,你说的70V的原则上是没有的。电动车能跑多少公里,行业里叫续行里程,它不仅和电池电压、电流有关系,还和电机类型、额定功率、输出效率、负荷量等有关系。按64V20A电池,500W电摩电机计算的话,续行里程大约等于=20/(500W/64V/20A)*80%*30公里/小时=61.44公里。也就是说,如果你的电动车在正常条件下行驶下(道路状况良好,气温在10度以上35度以下,仅载1人情况下),电机效率可达80%,那么,你可以续行61公里左右

支付宝共享单车怎么使用

直接打开支付宝扫码就可以使用了。

现在,只要找到车身二维码,再打开支付宝扫一扫,就可以解锁骑走了,而不再需要安装各自的APP。这六家共享单车分别是:ofo、永安行、小蓝、Hellobike、funbike(凡骑)、优拜。

在新版支付宝首页,还单独上线了一个独立的“共享单车”应用,点开之后就能快速了解附近有哪些单车离自己最近、哪些免押、哪些有骑行优惠。

为了让大家尽快适应从支付宝扫单车,支付宝推出了优惠活动, 4月29日-5月7日期间,凡骑、Hellobike、ofo、小蓝、永安、优拜六大共享单车使用支付宝客户度扫一扫,可免费骑车。

此外,通过支付宝扫一扫骑车,且单次骑行超过5分钟用户,即可参与瓜分千万红包大奖的活动。


...更多>>
合肥app大全
(61)合肥app大全

合肥古为淮夷地,商朝称虎方,西周称夷虎。周时庐子国建都于此。秦始皇二十六年(前221年),废分封,立郡县,合肥属九江郡。这里为您提供的是一系例合肥有关的app,是合肥新生活必备的手机软件,包括出行,购物,聚会等。

...更多>>
抗癌
(21)抗癌

确认了李咏的确逝世的消息后,很多人的反应还是不敢相信,太突然,明明感觉不久前才见过他啊。根据哈文的微博,李咏已经在美国抗癌17个月,所以大家一定要保证身体,多锻炼,这里为您提供一些app,让癌远离!主要是一些如何防治,以及一些如何运动的app

...更多>>
  • 蛇行运动手游1.8 安卓最新版

    10-12 / 35.2M

    推荐理由:这是一款经典的贪吃蛇游戏,不一样的是你在通过数字板块之前需要将周围的黄色食物吃完,使得你的身体变得越
  • 简康运动app1.0 苹果版

    10-11 / 39.9M

    推荐理由:随着生活条件的变好,健身成了许多人的生活的一部分,健身可以让你的生活更丰富!小编爱来了简康运动app,这
  • 我爱篮球运动app1.0.0 安卓版

    10-09 / 5.0M

    推荐理由:一款篮球赛事服务软件,我爱篮球运动app这里有最新的篮球赛事信息,可以关注比赛时间,观看比赛,记录每个篮
  • 新运动助手2.0.0 安卓手机版

    10-02 / 1.6M

    推荐理由:很多的人都是非常的喜欢刷一些微信或者是qq上面的步数,可以使用这款最新的新运动助手app,直接的快速的对你
  • 运动小智腹部训练app0.1.7 安卓版

    09-26 / 43.7M

    推荐理由:智能健身运动平台,运动小智腹部训练app专门针对你的腹部赘肉而打造,帮你减掉多余的肉,训练简单,有智能语
  • 定向运动手游1.1.5 安卓最新版

    09-01 / 86.0M

    推荐理由:这个一个运动跑步的游戏,非常新颖的玩法,3d人物风格,地图上会给你设定一个目标,你需要通过手机掌握出路
声母韵母ppt
(16)声母韵母ppt

声母,是使用在韵母前面的辅音,跟韵母一齐构成的一个完整的音节。其他汉藏语系语言也有类似的结构。一般由辅音充当,即首辅音。韵母是指中国汉语音韵学术语,汉语字音中声母、字调以外的部分。旧称为韵。韵母由韵头(介音)、韵腹(主要元音)、韵尾三部分组成;按韵母结构可分为单韵母、复韵母、鼻韵母。

...更多>>
  • 部编版ang eng ing ong 教案ppt课件

    10-24 / 17.6M

    推荐理由:教学目标1.学会后鼻韵母ang、eng、ing、ong和整体认读音节ying及ying的四声,读准音,认清形,正确书写。2.学会
  • 拼音an.en.in.un.vn教案ppt

    10-24 / 1.1M

    推荐理由:an读安,en读恩,in读因,un读温,vn读韵前鼻音尾韵母指的是鼻韵母中以-n为韵尾的韵母。普通话中的前鼻音尾
  • 汉语拼音ie ue er教案PPT

    10-24 / 1.1M

    推荐理由:教学目标1、学会复韵母ieüe、特殊韵母er及其四声读准音认清形,正确书写。2、学习声母与复韵母ieüe组成的
  • ao ou iu 优秀教学ppt

    10-24 / 2.2M

    推荐理由:1、认读复韵母ɑo⑴出示奥运福娃、奥运主会场、奥运标志,让学生说名称。(设计意图:联系学生喜爱的福娃形
  • ai ei ui 教学设计ppt课件

    10-24 / 2.4M

    推荐理由:小朋友,你们好!就在刚才,我遇见了六位老朋友。听说我来上课,就嚷嚷着要一同来,你们欢迎吗?一起喊出他
  • zh ch sh r公开课教案ppt

    10-24 / 2.7M

    推荐理由:本课共包括四部分内容:第一部分是情境图;第二部分是zh、ch、sh、r和整体认读音节zhi、chi、shi、ri两拼音

相关评论

阅读本文后您有什么感想? 已有 人给出评价!

  • 2791 喜欢喜欢
  • 2101 顶
  • 800 难过难过
  • 1219 囧
  • 4049 围观围观
  • 5602 无聊无聊
热门评论
最新评论
昵称:
表情: 高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲
字数: 0/500 (您的评论需要经过审核才能显示)

本类常用软件