web--SQL注入

SQL注入的危害

1.获得用户数据(及个人隐私)

2.获得管理员账号密码

3.修改网站数据

4.上传文件(shell  木马)

什么事SQL注入

攻击者通过构造不同的SQL语句来实现对数据库的操作。

1.参数用户可控

2..我们构造的参数带入数据库查询

SQL注入一般流程

1.判断注入点 

2.判断字段数 (用order by 可以根据指定的列进行排序)

3.判断回显点

4.查询相关内容

(可以使用Cookie来传参)

数据库查询

information_schema数据库是MySQL系统自带的数据库，它提供了数据库元数据的访问方式。

version 查询数据库的版本号  (构造 ?id=1 and 1=2 union select 1,version() 回车)

column_name 是一个列名称