【原创教程】spl注入的基本原理是什么 - 技术分享 - 五行资源分享网



【原创教程】spl注入的基本原理是什么

作者头像图片

作者: 五行

网络资源搬砖的爱好者

文章二维码手机扫码查看

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,如有侵权请联系!

【原创教程】spl注入的基本原理是什么-五行资源分享网-第1张图片

 

sql注入基本原理
科普:解释型 or 编译型语言
语言分类:解释型语言和编译型语言。

解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。

而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。

在解释型语言中,如果程序与用户进行交互。用户就可以构造特殊的输入来拼接到程序中执行,从而使得程序依据用户输入执行有可能存在恶意行为的代码。

例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。

举例:’or 1=1绕过密码输入直接登录
登录业务系统的SQL语句

select* from admin where username=用户输入的用户名 and password=用户输入的密码
用户输入的内容可由用户自行控制,例如可以输入'or1=1-空格

拼接后的SQL语句

select* from admin where username='or1=1- and password=用户输入的密码
其中or1=1永远为真,-注释后边内容不再执行,因此SQL语句执行会返回 admin表中的所有内容。

危害总结
数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
网页篡改:通过操作数据库对特定网页进行篡改。
网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
破坏硬盘数据,瘫痪全系统。
sqli-labs靶场搭建
可以参考下面文章中的sqli-labs部分
使用权归猪头所以

分享到:
打赏
未经允许不得转载:

作者: 五行, 转载或复制请以 超链接形式 并注明出处 五行资源分享网
原文地址: 《【原创教程】spl注入的基本原理是什么》 发布于2022-5-27
帖子声明: 本站对文章进行整理、排版、编辑,是出于传递信息之目的, 并不意味着赞同其观点或证实其内容的真实性,不拥有所有权,不承担相关法律责任。

评论

为了防止灌水评论,登录后即可评论!

 

觉得文章有用就打赏一下文章作者

微信扫一扫打赏