简单的sql注入例子
@钱亨3944:sql注入(计算机专业名词) - 搜狗百科
蔺许18369297843…… 一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如: select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后,看这个用户名/...
@钱亨3944:SQL注入式攻击简单案例怎么做 -
蔺许18369297843…… 有where 就有注入..... 例如: SELECT * FROM 你的表 WHERE 你的列 = '+ 传入参数 +' OK 根据指定的参数查询 看起来是不错, 注入来了!!! 传入参数 = "e' or 1=1 --" 我们再来看看效果 SELECT * FROM 你的表 WHERE 你的列 = 'e' or 1=1 --' 大家都知道 -- 是注释的意思吧,意思就是把后面的SQL语句注释了 这句SQL的意思就是 查询 你的表的所有列 条件是 你的列 = 'e' (这个不满足) 或者 1=1 (这个满足).... 所以就查询出来了......
@钱亨3944:跪求SQL手工注入语句及原理 -
蔺许18369297843…… 先举个例子,你要登录一个网站,上面让你输入用户名字和密码.那么,假如你输入的用户名是 admin ,但是你不知道密码,你就输入了一个 1' OR '1' = '1 ,那么,你就提交了两个参数给服务器.假如,服务器拿这两个参数拼SQL语句:...
@钱亨3944:哪位能给我一个SQL注入的例子 - 技术问答
蔺许18369297843…… 很简单:你随便找个网站,诸如:http://www.***.com/*.php?ID=1然后在后面加上 or 1=1那么实际网址就是:http://www.***.com/*.php?ID=1 or 1=1 如果网站的SQL是这么写的:$sq=\"select * from sometable where ID=\".$ID待你加上or 1=1之后就变成:$sq=\"select * from sometable where ID=\".$ID or 1=1你可以把这个sql拿到phpmyadmin上运行一下你就知道了
@钱亨3944:那个高手帮我讲讲简单的sql注入的问题,比较简单的就行,最好举一个简单的例子
蔺许18369297843…… sql注入主要是通过地址栏的传参来猜解你的数据库管理员表的用户名及密码,从而进入你网站后台. 百度百科里:http://baike.baidu.com/view/3896.htm?fr=ala0_1_1有详细的说明,不过现在都用sql注入软件了,手动进行猜解的很少了,效率也低!所以你加上放sql注入代码还是很有必要的.
@钱亨3944:什么叫做SQL注入,如何防止?请举例说明. -
蔺许18369297843…… sql注入就是,通过语句的连接做一些不是你想要的操作..举个例子你就懂了例如你要查询id=1的记录,直接连接就是这样"select * from tableName where id=1"别人可以写成"select * from tableName where id=1;delete from tableName" 这样就把你的表数据全部删除了.就是加个;继续写脚本,当然,这只是个例子..还能做其他操作,比如获取你数据库的用户名,密码什么的,那就惨了,,传参的方式可以防止注入"select * from tableName where id=@id" 然后给@id赋值,就ok啦..这是我的个人看法,,期待更好的解答
@钱亨3944:什么事sql注入?数据库 -
蔺许18369297843…… 说明:把SQL命令插入Web表单递交或输入域名或页面请求查询字符串终达欺骗服务器执行恶意SQL命令.下面给一个简单是注入示例.假如网站登录的语句是: select * from user where id = xxx 如果我修改成注入,在用户账号输入框写入 or 1 = 1 这样也是可以骗过系统,认为是正常的登录.防止注入需要对用户输入的内容做一些处理,比如替换掉用户输入的 单引号、空格等SQL保留字符;把用户输入的内容采用MD5加密后再同数据库内容对比……
@钱亨3944:SQL注入攻击 -
蔺许18369297843…… 简单例子select * from table where name='"+un+"' and psw='"+pw+"'",假如可以输入任何字符,un随便输入12345' or 1=1--这样提交过来的aa就会select * from table where name='12345' or 1=1--password...就会查出来
@钱亨3944:怎样使用sql注入语句 -
蔺许18369297843…… 一般,SQL 注入是 SQL语句直接是从页面获得值进行拼接的.如果12 string strUserid = "admin"; //从页面获得输入内容string strSql = "select 1 from users where userid='" + strUserid + "' "; 若 strUserid 正常输入,是没问题的...
蔺许18369297843…… 一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如: select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后,看这个用户名/...
@钱亨3944:SQL注入式攻击简单案例怎么做 -
蔺许18369297843…… 有where 就有注入..... 例如: SELECT * FROM 你的表 WHERE 你的列 = '+ 传入参数 +' OK 根据指定的参数查询 看起来是不错, 注入来了!!! 传入参数 = "e' or 1=1 --" 我们再来看看效果 SELECT * FROM 你的表 WHERE 你的列 = 'e' or 1=1 --' 大家都知道 -- 是注释的意思吧,意思就是把后面的SQL语句注释了 这句SQL的意思就是 查询 你的表的所有列 条件是 你的列 = 'e' (这个不满足) 或者 1=1 (这个满足).... 所以就查询出来了......
@钱亨3944:跪求SQL手工注入语句及原理 -
蔺许18369297843…… 先举个例子,你要登录一个网站,上面让你输入用户名字和密码.那么,假如你输入的用户名是 admin ,但是你不知道密码,你就输入了一个 1' OR '1' = '1 ,那么,你就提交了两个参数给服务器.假如,服务器拿这两个参数拼SQL语句:...
@钱亨3944:哪位能给我一个SQL注入的例子 - 技术问答
蔺许18369297843…… 很简单:你随便找个网站,诸如:http://www.***.com/*.php?ID=1然后在后面加上 or 1=1那么实际网址就是:http://www.***.com/*.php?ID=1 or 1=1 如果网站的SQL是这么写的:$sq=\"select * from sometable where ID=\".$ID待你加上or 1=1之后就变成:$sq=\"select * from sometable where ID=\".$ID or 1=1你可以把这个sql拿到phpmyadmin上运行一下你就知道了
@钱亨3944:那个高手帮我讲讲简单的sql注入的问题,比较简单的就行,最好举一个简单的例子
蔺许18369297843…… sql注入主要是通过地址栏的传参来猜解你的数据库管理员表的用户名及密码,从而进入你网站后台. 百度百科里:http://baike.baidu.com/view/3896.htm?fr=ala0_1_1有详细的说明,不过现在都用sql注入软件了,手动进行猜解的很少了,效率也低!所以你加上放sql注入代码还是很有必要的.
@钱亨3944:什么叫做SQL注入,如何防止?请举例说明. -
蔺许18369297843…… sql注入就是,通过语句的连接做一些不是你想要的操作..举个例子你就懂了例如你要查询id=1的记录,直接连接就是这样"select * from tableName where id=1"别人可以写成"select * from tableName where id=1;delete from tableName" 这样就把你的表数据全部删除了.就是加个;继续写脚本,当然,这只是个例子..还能做其他操作,比如获取你数据库的用户名,密码什么的,那就惨了,,传参的方式可以防止注入"select * from tableName where id=@id" 然后给@id赋值,就ok啦..这是我的个人看法,,期待更好的解答
@钱亨3944:什么事sql注入?数据库 -
蔺许18369297843…… 说明:把SQL命令插入Web表单递交或输入域名或页面请求查询字符串终达欺骗服务器执行恶意SQL命令.下面给一个简单是注入示例.假如网站登录的语句是: select * from user where id = xxx 如果我修改成注入,在用户账号输入框写入 or 1 = 1 这样也是可以骗过系统,认为是正常的登录.防止注入需要对用户输入的内容做一些处理,比如替换掉用户输入的 单引号、空格等SQL保留字符;把用户输入的内容采用MD5加密后再同数据库内容对比……
@钱亨3944:SQL注入攻击 -
蔺许18369297843…… 简单例子select * from table where name='"+un+"' and psw='"+pw+"'",假如可以输入任何字符,un随便输入12345' or 1=1--这样提交过来的aa就会select * from table where name='12345' or 1=1--password...就会查出来
@钱亨3944:怎样使用sql注入语句 -
蔺许18369297843…… 一般,SQL 注入是 SQL语句直接是从页面获得值进行拼接的.如果12 string strUserid = "admin"; //从页面获得输入内容string strSql = "select 1 from users where userid='" + strUserid + "' "; 若 strUserid 正常输入,是没问题的...
