當web應用向後台資料庫傳遞sql語句進行資料庫操作時。如果對使用者輸入的引數沒有經過嚴格的過濾處理,那麼攻擊者就可以構造特殊的sql語句,直接輸入資料庫進行執行,獲取或修改資料庫中的資料。
2.正常情況下,我們應該請求一些正確的內容,比如 www.baidu.com/s?id=1 這裡,id=1是正常的引數
3.但是如果說某個**存在sql注入漏洞,沒有對客戶端的輸入做過濾,那麼當我輸入s?id=1' and select database() --+
那麼這裡and後的語句就是"非法語句",顯然服務端不希望我們獲取響應資訊.這時,sql注入就出現了.
4.簡單來說,sql注入就是服務端沒有對客戶端的輸入資訊做過濾,並且資訊被帶入了資料庫查詢.
5.了解了sql注入的原理,就知道sql注入的條件了: 對使用者端輸入過濾不嚴格;並且可以帶入資料庫查詢.
1.暴露了資料庫裡的使用者資訊;
2.獲取後台管理員賬號和密碼,達到進一步滲透的目的;
3.一些mysql執行許可權過高,可以直接提權成功;
4.造成整個資料庫被"脫庫"等.
27歲以後,27歲之前
27歲之前的人生就是一場充滿了變數冒險和童話故事的荒誕過程,經歷了各種悲慘,痛苦,不可思議的人和事。使得我終於在2013年的這個年頭裡明白了乙個道理 三十而立,誠不欺我。27歲之後的工作,花了2個月的時間揣摩學習頂著可能被炒魷魚的壓力應對著一件一件的事情,可幸27歲之前的人生給了我面對困難挫折壓力的...
27 語言入門 27 成績轉換
描述 輸入乙個百分制的成績m,將其轉換成對應的等級,具體轉換規則如下 90 100為a 80 89為b 70 79為c 60 69為d 0 59為e 輸入 第一行是乙個整數n,表示測試資料的組數 n 10 每組測試資料佔一行,由乙個整數m組成 0 m 100 輸出 對於每組輸入資料,輸出一行。樣例輸...
python2 7換行 Python2 7基礎語法
1.建立檔案xx.py usr bin python3 print hello,world 2.linux下執行 python hello.py 3.編碼 預設字串unicode 設定編碼 coding utf 8 4.識別符號 第乙個字元必須是字母表中字母或下劃線 識別符號的其他的部分有字母 數字...