課程介紹
SQL Injection:就是通過把 SQL 命令插入到 Web 表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的 SQL 命令。
具體來說,它是利用現有應用程序,將(惡意)的 SQL 命令注入到后臺數據庫引擎執行的能力,它可以通過在 Web 表單中輸入(惡意)SQL 語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行 SQL 語句。
首先讓我們了解什么時候可能發生 SQL Injection。
假設我們在瀏覽器中輸入 URL www.sample.com,由于它只是對頁面的簡單請求無需對數據庫動進行動態請求,所以它不存在 SQL Injection,當我們輸入 www.sample.com?testid=23 時,我們在 URL 中傳遞變量 testid,并且提供值為 23,由于它是對數據庫進行動態查詢的請求(其中?testid=23 表示數據庫查詢變量),所以我們可以該 URL 中嵌入惡意 SQL 語句。
1 : SQL注入原理和檢測方法
2 : SQL注入復雜語句查詢
3 : 密碼
4 : 讀寫文件
5 : 編寫服務端代碼
6 : 無權讀取information_schema庫和拒絕union、order by語句
7 : 當數據庫可寫
8 : Medium難度級別和high難度級別
9 : SQL盲注
10 : SQL盲注-無權讀取information_schema庫和拒絕union、order by語句
11 : SQL盲注-開個腦洞 |
合作伙伴與授權機構
總部李老師
