问题描述 今天准备系统的学习一下sql注入,搭建了一个sqlilab靶场,数据库连接没有问题,phpstudy启动也没有问题,但是启动成功之后进入第一关 我在网上找了很多都说第一关就是简单的单引号注入,但是我输入单引号没有回显错误 我还专门去源代码看了看,审计源代码,里面毛都没有过滤,但是为什么注不 ...
分类:
数据库 时间:
2021-06-02 13:13:18
阅读次数:
0
11-1.逻辑漏洞-订单金额任意修改1)逻辑漏洞介绍逻辑漏洞挖掘一直是安全测试中"经久不衰"的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。在存在功能性 ...
分类:
其他好文 时间:
2021-06-02 12:23:41
阅读次数:
0
在sql注入中我们通常会使用这样一条语句来爆破字段: id=-1 union select 1,2,3 --+ 源代码: SELECT * FROM users WHERE id=-1 union select 1,2,3 假如表的字段是三个,他会根据程序的设定来输出哪个字段。如果这时使用键值对来查 ...
分类:
其他好文 时间:
2021-06-02 11:12:14
阅读次数:
0
PreparedStatement对象 使用preparedStatement对象,可以有效的防止SQL注入,并且效率更高 新增 import java.sql.Connection; import java.sql.PreparedStatement; import java.util.Date; ...
分类:
其他好文 时间:
2021-05-24 13:10:42
阅读次数:
0
MySQL(进阶篇) 一、视图 1. 理解 相当于将一个变量名和一个sql语句绑定,可通过变量名重复调用该sql语句 sql语句的结果一般为一个临时表,所以视图也被称为动态的临时表 2. 用法 -- create a view create view v_name as sql_statement ...
分类:
数据库 时间:
2021-05-24 11:57:48
阅读次数:
0
0x01 题目分析 通过题目可以了解到这是一个SQL注入的题,但是打开网站后观察URL、对登录框抓包尝试后都无果。 这时就很迷,最后只能用老办法看看源码啥的有没有提示 经过观察发现了一个隐藏的URL(心理想:这题是真的鬼[○?`Д´? ○]) 0x02 开始测试 利用and 1=1 和 and 1= ...
分类:
数据库 时间:
2021-05-03 13:20:58
阅读次数:
0
写在前面: 这里的代码只是为了同学们学习的时候入门,很多该优化、简写的东西都没有处理。 这种访问数据库的方法还存在严重的安全漏洞(sql注入漏洞),实际开发中禁止使用。 工作中可以使用改良后的类,安全,结构复杂,使用方法类似。不利于此处学习,故不在此列出。 数据库操作类代码: 1 #define W ...
分类:
数据库 时间:
2021-04-28 11:48:39
阅读次数:
0
SQL注入的时候,找到了注入点,但是老是搞不清怎么爆库,最后还是得看大佬的WP 最后,终于下定决心自己整理一下爆库的常用语句和思路,如果哪里写的不对麻烦在评论区指出:-D 首先常用到的是这个数据库 information_schema 里面有许多表,记载了整个mysql里的各种信息,一般用得到的表为 ...
分类:
数据库 时间:
2021-04-26 13:01:52
阅读次数:
0
SQL注入 一、LOW难度SQL注入 1.判断注入类型 1.输入1 2.输入 1' and 1=2,报错 3.输入 1' and 1=2 #,无报错 得知为字符型注入 2.猜字段数 方法有两种: ① 1' order by N # ② 1' union select 1, 2, ... # 采用第一 ...
分类:
Web程序 时间:
2021-04-20 15:02:48
阅读次数:
0
SQL注入问题 导致SQL注入的根本原因是什么? 用户输入的信息中含有sql语句的关键字,并且用户所输入的信息参与了sql语句的编译过程,导致sql语句的原意被扭曲。 模拟用户登陆注册,演示sql注入 import java.sql.*; import java.util.HashMap; impo ...
分类:
数据库 时间:
2021-04-19 15:34:17
阅读次数:
0
