Sql 注入 學習筆記

2022-08-23 04:51:13 字數 531 閱讀 1152

先了解下crlf,crlf常用在分隔符之間,cr是carriage retum(ascii 13,\r) lf是line feed (ascii 10,\n),

\r\n這兩個字元類似於回車是用於換行的,因此該漏洞可能會導致程式原有的語義被改變

如:

def

helloworld(name):

open(

'test

','a

').write("

your name is %s\n

" % name)

假設傳入的引數是"coder",內容應為

"

your name is coder

"

但如果沒有處理好使用者的輸入,攻擊者輸入類似的**時就會產生crlf注入

"coder\nmy name is superman."

"

your name is coder""

my name is superman.

"

SQL注入學習筆記

sql注入漏洞是由於sql語句的呼叫方法不完善而產生的安全隱患。一旦應用中存在sql注入漏洞,就可能造成如下影響。值得注意的是,以下影響中攻擊者都能夠直接對伺服器實施主動攻擊,而不需要使用者參與。根據資料庫引擎的不同,通過sql注入攻擊還可能會達到下列效果。sql注入攻擊能夠以開發者意想不到的方式改...

sql注入學習筆記

1.什麼是sql注入 sql注入就是指web應用程式對使用者輸入的資料的合法性沒有判斷,前端傳入後端的引數帶有資料庫查詢的語句,攻擊者可以構造不同的sql語句來實現對資料庫的操作。2.sql注入原理 sql注入漏洞產生需要滿足以下兩個條件。引數使用者可控,前端傳給後端的引數內容是使用者可以控制的 引...

SQL注入學習筆記(2)

在做題時的一些總結 注釋 1.單行注釋 mysql中 也可以 注意 瀏覽器url中 有特殊作用,不一定能用 2.多行注釋 3.注 號在語句中變成了空格。用來和後面的單引號分隔開,將後面的語句注釋。了解原理後便知道了 無法使用的原因,是因為 與後面的單引號連線在一起,無法形成有效的mysql語句 後面...