备案控制台
开发者社区 数据库 文章 正文

常见sql注入原理详解!

2017-11-19 3332
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 RDS MySQL Serverless,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
云数据库 RDS MySQL Serverless,价值2615元额度,1个月
简介:

1、首先我们创建一个mysqli的链接

常见sql注入原理详解!

/**数据库配置*/

$config = ['hostname'=>"localhost", 'port'=>"3306", 'username'=>"root",'password'=>'','db'=>'sql'];

/**接收参数*/

$id = $_GET['id']?$_GET['id']:"";

if(empty($id)){

echo "article is not def"

}

/**链接数据库*/

$mysqli = new mysqli($config['hostname'],$config['username'],$config['password'],$config['db']);

/**设置编码*/

$mysqli->set_charset("utf8");

url数字注入结果测试

我们访问url:http://localhost/mysql/index.php?id=1

结果展示:

array (size=2) 'article_id' => string '1' (length=1) 'title' => string '思梦php编写:PHP操作Redis详解案例' (length=44)

(1)/当我们在在url上稍作修改时:

http://localhost/mysql/index.php?id=1‘ //加一个单引号

这样你的sql语句就会报错

(2)我们再次修改url的时候

http://localhost/mysql/index.php?id=-1 or 1=1 //后面参数修改成这样

结果展示了所有的文章列表

D:wampwwwmysqlindex.php:11:array (size=2) 'article_id' => string '1' (length=1) 'title' =>string '思梦php编写:PHP操作Redis详解案例' (length=44)

D:wampwwwmysqlindex.php:11:array (size=2) 'article_id' => string '2' (length=1) 'title' =>string 'Mysql存储过程从0开始(上)' (length=36)

D:wampwwwmysqlindex.php:11:array (size=2) 'article_id' => string '3' (length=1) 'title' =>string '思梦php编写:PHP排序的几种方法' (length=42).............

常见sql注入原理详解!

2、表单注入,主要利用sql语句的注释

$username = $_POST['username']?$_POST['username']:"";

$password = $_POST['password']?$_POST['password']:"";

$sql = "select * from tb_member where account='$username'AND password='$pass'";

$res = $mysqli->query($sql);

$row = $res->fetch_assoc();

if($row){

echo "登录成功!";

}else{

echo "账号密码错误!";

}

正常输入

常见sql注入原理详解!

打印:登录成功!

我们简单修改一下

常见sql注入原理详解!

打印:登录成功!

常见sql注入原理详解!

原理:首先使用单引号结束sql语句,然后加#注释后面的sql语句

常见sql注入原理详解!

同理另一种方式为

常见sql注入原理详解!

打印:登录成功!

原理:首先使用单引号结束sql语句,然后加(-- )注释后面的sql语句

常见sql注入原理详解!

常见sql注入原理详解!

文章标签:
云数据库 RDS MySQL 版
PHP
SQL
关系型数据库
索引
安全
数据库
关键词:
SQL原理
SQL注入
SQL注入原理
相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
思梦php
目录
相关文章
宁波阿成.
|
1天前
|
SQL 安全
jeecg-boot sql注入漏洞解决
jeecg-boot sql注入漏洞解决
宁波阿成.
9 0
然然学长
|
3天前
|
SQL 测试技术 网络安全
Python之SQLMap:自动SQL注入和渗透测试工具示例详解
Python之SQLMap:自动SQL注入和渗透测试工具示例详解
然然学长
13 0
香甜可口草莓蛋糕
|
5天前
|
SQL 安全 关系型数据库
SQL 注入神器:SQLMap 参数详解
SQL 注入神器:SQLMap 参数详解
香甜可口草莓蛋糕
22 1
sunrr
|
11天前
|
SQL 存储 Java
如何避免SQL注入?
【4月更文挑战第30天】如何避免SQL注入?
sunrr
23 0
桃李春风一杯酒
|
11天前
|
SQL 安全 PHP
【PHP 开发专栏】PHP 防止 SQL 注入的方
【4月更文挑战第30天】本文介绍了PHP防止SQL注入的策略,包括理解SQL注入的原理和危害,如数据泄露和系统控制。推荐使用参数化查询(如PDO扩展)、过滤和验证用户输入,以及选择安全的框架和库(如Laravel)。此外,强调了保持警惕、定期更新维护和开发人员安全培训的重要性,以确保应用安全。
桃李春风一杯酒
39 3
香甜可口草莓蛋糕
|
11天前
|
SQL 存储 安全
利用 SQL 二阶注入
利用 SQL 二阶注入
香甜可口草莓蛋糕
13 1
香甜可口草莓蛋糕
|
11天前
|
SQL Oracle 关系型数据库
常见 SQL 注入绕过方法
常见 SQL 注入绕过方法
香甜可口草莓蛋糕
12 0
香甜可口草莓蛋糕
|
11天前
|
SQL Oracle 关系型数据库
利用 SQL 注入提取数据方法总结
利用 SQL 注入提取数据方法总结
香甜可口草莓蛋糕
10 0
香甜可口草莓蛋糕
|
11天前
|
SQL 关系型数据库 MySQL
利用 SQL 注入识别数据库方法总结
利用 SQL 注入识别数据库方法总结
香甜可口草莓蛋糕
16 4
香甜可口草莓蛋糕
|
11天前
|
SQL Oracle Java
SQL 注入神器:jSQL Injection 保姆级教程
SQL 注入神器:jSQL Injection 保姆级教程
香甜可口草莓蛋糕
27 4

热门文章

最新文章

  • 1
    一文搞懂SQL优化——如何高效添加数据
  • 2
    【SQL server】玩转SQL server数据库:第三章 关系数据库标准语言SQL(二)数据查询
  • 3
    NL2SQL实践系列(2):2024最新模型实战效果(Chat2DB-GLM、书生·浦语2、InternLM2-SQL等)以及工业级案例教学
  • 4
    数据库管理与电脑监控软件:SQL代码优化与实践
  • 5
    【SQL server】玩转SQL server数据库:第二章 关系数据库
  • 6
    SQL常见面试题总结2
  • 7
    大模型与数据分析:探索Text-to-SQL(上)
  • 8
    NL2SQL进阶系列(4):ConvAI、DIN-SQL等16个业界开源应用实践详解[Text2SQL]
  • 9
    NL2SQL进阶系列(5):论文解读业界前沿方案(DIN-SQL、C3-SQL、DAIL-SQL)、新一代数据集BIRD-SQL解读
  • 10
    大模型与数据分析:探索Text-to-SQL(中)
  • 1
    [MySQL]SQL优化之索引的使用规则
    42
  • 2
    sql文件批处理程序-java桌面应用
    26
  • 3
    《牛客笔试选择题》sql错题集
    29
  • 4
    AI代码生成器——AI2sql
    117
  • 5
    10个高级的 SQL 查询技巧
    56
  • 6
    【问题】Cause: java.sql.SQLException: 不支持的字符集 (在类路径中添加 orai18n.jar): ZHS16GBK
    58
  • 7
    解决SQL报错:索引中丢失IN或OUT參数
    23
  • 8
    Mybatis拦截器实现带参数SQL语句打印
    46
  • 9
    Flink CDC产品常见问题之sql运行中查看日志任务失败如何解决
    131
  • 10
    数据安全无忧,SQL Server 2014数据库定时备份解密
    25

    • 相关课程

    更多
  • 如何在 PolarDB-X 中优化慢 SQL
  • SQL完全自学手册
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • 数据库及SQL/MySQL基础
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server 2017
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • 使用SQL语句实现数据表管理
  • 使用SQL语句实现数据插入、修改和删除操作
  • 使用SQL语句实现数据查询操作
  • 使用SQL语句管理索引
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)