sql 注入初探
Sql注入:就是将恶意的sql语句插入到用户输入的参数当中并带入数据库中查询并在浏览器返回不该显示的信息
寻找sql注入点:
1.要有参数值的传递(url当中GET型的、注册用户名的页面、登录框、留言板)总结,框 表单。
2.参数值是可控的:用户自己可以控制传的内容,并能合法提交
3.没有做防护过滤带入数据库执行
sql注入的威胁:
猜解后台数据库,盗取网站的敏感信息。
绕过认证,列如绕过验证登录网站后台。
注入可以借助数据库的存储过程进行提权等操作。
火狐浏览器安装插件hackbar
便于手工测试sql注入
常见的数据库:
access数据库 :适用于 中小网站的数据库
数据库结构: 表名-- 列名--- 内容数据
admin
id username password qq
1 xiaownag 123456 61181
Mysql 数据库 :适用于中小型网站
sql server数据库: 使用于大型网站
orcle数据库
postgresql数据库