初识SQL注入
2024-10-15 02:09:22
什么是SQL注入(SQL Injection)?
SQL注入是网站攻击途径之一,这里引用一下百度百科的解释:“所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令”。
简单示例
网站的登录界面,需要用户输入用户名和密码来进行登录,如果网站开发者在开发时没有考虑对SQL注入加以防范,则恶意攻击者就可以通过在用户名和密码输入框中添加特定的SQL语句,以达到查询后台数据库获取数据,甚至对后台数据库中的数据造成破坏的目的。
网站所有用户的用户名和密码一般都保存在后台数据库的表中,当用户输入用户名和密码时,通过执行诸如下面形式的查询语句来验证用户名和密码是否输入正确。
select * from login where username='XXX' and password='YYY'
如果恶意攻击者对用户名和密码分别输入XXX和password' OR 1=1,则验证用户名和密码时将执行这样的语句:
select * from login where username='XXX' and password='password' OR 1=1
因为1=1永远为真,因此如果开发者没有采取任何措施验证用户输入,就会使得攻击者在无需知道正确的用户名和密码的情况下轻易的登录成功。
如何测试SQL注入漏洞
作为Tester,最关注的就是如何测试SQL注入漏洞,基于我目前的理解,那就是:以黑客的心态,通过各种SQL注入方法,来攻击被测目标。因此,掌握各种SQL注入方法很重要。本文的参考资料中介绍了一些SQL注入方法,以后有时间,再进行research整理SQL注入方法吧:)
参考资料:
最新文章
- pullToRefreshListView的简单使用
- 在WebAPI使用Session
- python基础3
- Timestamp 使用
- Linux 守护进程和超级守护进程(xinetd)
- node Later定时任务
- HDU 4746 Mophues 莫比乌斯反演
- C#关于ref与out的总结
- cocos2dx 3.x Value、Vector和Map意识
- Windows WDDM显卡驱动框架及GPUView工具的使用(1)
- Halcon相关
- 从PMP培训归来,跟大家聊聊做项目的套路
- Vue(四)之webpack和vue-cli
- 【转】C++命名空间 namespace的作用和使用解析
- spring源码分析系列 (5) spring BeanFactoryPostProcessor拓展类PropertyPlaceholderConfigurer、PropertySourcesPlaceholderConfigurer解析
- 如何合并ts文件?
- Terminal run py文件
- [Android Pro] AndroidStudio IDE界面插件开发(进阶篇之Editor)
- List集合实现简易学生管理
- 20155238 2016-2017-2 《Java程序设计》第六周学习总结