SQL注入详解

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入详解相关的知识,希望对你有一定的参考价值。

本文将从5个方面叙述SQL注入的一些问题,漏洞原理,测试,利用,危害,修复。接着介绍一些SQL注入的技巧东西。

  • 漏洞原理

    注入类漏洞是OWASP TOP 10常客,SQL注入占比应该很高。顺带科普一下注入类漏洞,包括SQL,OS,LDAP注入。

    SQL注入是发生在应用程序数据库层面的漏洞,当不可信的数据作为查询语句的一部分,发给解析器的时候,在设计不良得应用程序当中忽略检查,攻击者就可以欺骗解析器,执行计划外的命令。

案例:

String query = "SELECT * FROM accounts WHERE custID="+request.getParameter("id")+"" ;    当攻击者传进来的id参数为‘ or ‘1‘=‘1 时候

查询语句拼接成 SELECT * FROM accounts WHERE custID= ‘ or ‘1‘=‘1‘ ;

这个查询语句送到解析器里,解析执行后返回的结果为accounts表所有记录。更危险的攻击可能导致数据被篡改甚至存储过程被调用。

  • 漏洞测试

    手工测试:

以上是关于SQL注入详解的主要内容,如果未能解决你的问题,请参考以下文章

sql注入详解

SQL注入详解

SQL注入详解

SQL注入攻防入门详解

sql注入详解

SQL注入详解