kali 漏洞篇-SQL注入 学习笔记

SQL注入 （SQL Injection）：通过把一段精心设计的SQL语句放到可以提交或输入域名或页面请求的查询字符串，让服务器产生歧异。最终达到欺骗服务器执行设计者想要的SQL命令的结果。

显注：当攻击者拼接SQL语句注入时，网站会把SQL语句的执行结果显示在网页上。

盲注：网站不会把SQL语句的执行结果显示出来。盲注还分为时间性盲注和布尔型两者。

•     布尔型盲注（Boolean注入），能用是与否的逻辑进行注入的盲注
•     时间盲注，时间注入的本质也是布尔注入，只不过是用数据库是否延迟执行的方式来表达是与否的逻辑。时间注入是利用sleep()或benchmark()等函数让数据库执行的时间变长。

sqlmap 工具

 

学习内容均参考Farmsec：http://book.fsec.io/201-%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86%E4%B8%8E%E5%B7%A5%E5%85%B7/201-A-%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86/201-A3-SQL%E6%B3%A8%E5%85%A5%EF%BC%88%E4%B8%8A%EF%BC%89.html