Hi I want to show sql injection vulnerability through form input using PHP and MYSQL. Any suggestion how to go about.
Thanks
2条回答 默认 最新
doulu1945 2015-10-06 02:35关注mysql_query("INSERT INTO `table` (`column`) VALUES ('$inject_variable')");If you have query like this you can insert something like
value'); DROP TABLE table;--to the$inject_variableto test the injection.Hence, your SQL query will became this:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')This will allow other users to drop the table.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2019-06-18 10:24回答 4 已采纳 ``` sql注入攻击和前后端分离没有关系,它主要是指,你的代码中有直接拼接sql的代码,而没有加以处理,比如 $sql = "select * from table where titl
- 2017-10-17 08:26回答 2 已采纳 【1】拦截器中获取request中的数据 这个貌似不难,, 【2】过滤可能产生的sql注入与xss攻击 这个的话,简单点就是过滤非法字符,比如&,之类的, 有问题还可以追问
- 2022-10-06 21:55回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
- 2024-06-24 11:26ysjy13的博客 1.1 SQL注入攻击的定义SQL注入攻击是一种利用Web应用程序对用户输入数据的不合理处理漏洞,以执行恶意SQL代码来访问或操作数据库的攻击技术。通常情况下,Web应用程序会将用户输入的数据与预先构建的SQL查询语句或...
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2022-07-07 16:41回答 3 已采纳 selectcount(yh)case when zzjl > rdrq then rdrq else zzjl ymfromm_yhslgroup by case when zzjl &
- 2018-10-23 06:22回答 3 已采纳 相当于没有where条件 你这个SQL语句中条件是where username= ' ' or 1=1 or '1'='1 ' where 后面就是你的条件, 表示满足这些条件的数据都更新
- 2019-03-14 13:48小金子的夏天的博客 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。...
- 2023-02-15 16:31回答 3 已采纳 你要在sql文件把这个 批量替换你数据库中创建的对应表才行的首先用notepad++或者其他ide打开sql文件,然后ctrl + R全部把 替换成你定义的表名,然后保存重新打开sql文件
- 2018-01-19 03:27回答 3 已采纳 这里有很多试探,比如说试探你的数据库的表结构select * from sys.dba_users--,试探你的服务器的软件环境select @@version,1,1,1-- 试探你的程序是不是
- 2019-01-18 11:24回答 3 已采纳 先问几个问题,你这个是POST方法嘛?后端用到了什么框架没有?比如springmvc 通过跟踪tomcat的日志,应该是在调用org.apache.tomcat.util.http.Parame
- 2021-09-19 10:37SQL注入攻击是一种常见的Web安全威胁,攻击者通过在Web表单输入或URL查询字符串中插入恶意SQL代码片段,以达到对数据库未经授权的操作。例如,通过这种攻击方式,攻击者可以盗取用户信息、获取系统权限以及篡改网页...
- 2022-07-07 01:20跳楼梯企鹅的博客 SQL注入语法汇总大全
- 2024-07-22 22:02carrot11223的博客 SQL 注入是一种常见的网络攻击手段,攻击者通过在用户输入中插入恶意的 SQL 代码,从而控制或破坏目标数据库。通常,这种漏洞存在于应用程序对用户输入未进行充分过滤和处理的情况下。
- 2019-10-05 02:04diaoyu3131的博客 机房收费系统验收的时候,师父提到SQL注入攻击。自己以前看过类似的博客大概知道一些这方面的事情,于是自己动手查了查。 定义: 所谓SQL注入,通过SQL命令插入到Web表单提交或者输入域名或页面请求的查询字段,...
- 没有解决我的问题, 去提问
悬赏问题
- ¥30 STM32 INMP441无法读取数据
- ¥100 求汇川机器人IRCB300控制器和示教器同版本升级固件文件升级包
- ¥15 用visualstudio2022创建vue项目后无法启动
- ¥15 x趋于0时tanx-sinx极限可以拆开算吗
- ¥500 把面具戴到人脸上,请大家贡献智慧
- ¥15 任意一个散点图自己下载其js脚本文件并做成独立的案例页面,不要作在线的,要离线状态。
- ¥15 各位 帮我看看如何写代码,打出来的图形要和如下图呈现的一样,急
- ¥30 c#打开word开启修订并实时显示批注
- ¥15 如何解决ldsc的这条报错/index error
- ¥15 VS2022+WDK驱动开发环境