通过表单输入的 SQL 注入攻击

Posted 2023-02-19

【中文标题】通过表单输入的 SQL 注入攻击

【英文标题】：SQL Injection Attack through form input

【发布时间】：2016-01-02 16:55:37

【问题描述】：

您好，我想通过使用 php 和 mysql 的表单输入来展示 sql 注入漏洞。任何建议如何去做。

谢谢

【问题讨论】：

不完全确定你在问什么，但听起来很合适：***.com/questions/9624292/…

How can I prevent SQL-injection in PHP?的可能重复

在连接到mysql函数的输入中，尝试使用SQL函数，如DELETE table_name;或 TRUNCATE 表名

您可能还想用 mysql 和 php 而不是 sql 来标记它，以便合适的人来这里。 SQL 标记有点太模糊了。

感谢您的回复，请原谅我含糊不清。我知道如何通过添加 striplashes 和 real_escape_string 来防止 sql 注入。我想演示一个易受攻击的登录，它不能通过简单地删除条纹来工作。我什至尝试过； admin' 1-- 它给了我错误的用户名或密码。

【参考方案1】：

mysql_query("INSERT INTO `table` (`column`) VALUES ('$inject_variable')");

如果您有这样的查询，您可以在$inject_variable 中插入类似value'); DROP TABLE table;-- 的内容来测试注入。

因此，您的 SQL 查询将变为：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

这将允许其他用户删除该表。

【参考方案2】：

您可以使用 Kali Linux 入侵 php 网站。这是一个tutorial，关于如何做到这一点。