⑴ 跪求sql手工注入語句及原理
先舉個例子,你要登錄一個網站,上面讓你輸入用戶名字和密碼。那麼,假如你輸入的用戶名是 admin ,但是你不知道密碼,你就輸入了一個 1' OR '1' = '1 ,那麼,你就提交了兩個參數給伺服器。假如,伺服器拿這兩個參數拼SQL語句:SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = '/*param1*/'AND T.PASSWORD = '/*param2*/'那麼,你提交的兩個參數就使SQL文變成了:SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = 'admin'AND T.PASSWORD = '1' OR '1' = '1'那麼,這個SQL原來的校驗功能就被你繞過去了,你的這種行為就稱之為SQL注入。
⑵ sql注入問題
通過程序代碼拼接的sql是動態構造的,由一個不變的基查詢字元串和一個用戶輸入字元串連接而成。例如一個攻擊者在前端文本框中輸入字元串「name' OR 'a'='a」,那麼構造的查詢就會變成:SELECT * FROM XXX WHERE _file = 'name' OR 'a'='a';
可以見得附加條件 OR 'a'='a' 會使 where 從句永遠評估為 true,因此該查詢在邏輯上將等同於一個更為簡化的查詢:SELECT * FROM items;
你說的1、2、3步驟總結到最後就是輸入上述的那種字元串
⑶ 手工注入sql的時候總是遇到2和11, 這兩個數字有什麼特別之處嗎
你用了什麼語句才出現2和11這兩個數字的?
⑷ SQL Server2000企業版在XP下的安裝
你發上來圖片是說你的安裝文件夾下的SQLRUN.cab文件錯誤或丟失了(如圖),至於卸載問題你可以嘗試打開注冊表編輯器(regedit),在HKEY_LOCAL_中找到PendingFileRenameOperations項目,並刪除它。
另外:
建議你下載個SQL中文版SP4來裝吧。
對於四樓的疑問:我本人是在XP下安裝了SQL中文版的SP4使用將近一年沒有發現問題
如有問題可加群75937694大家一起探討一下,我新建的群
本人可以負責任的說,XP下是可以安裝SQL企業版伺服器端和客戶端的。
「指定實例名無效」通常是你已安裝過SQL2000或卸載不完全。
如果你以前安裝過SQL2000,先在控制面板的「添加或刪除程序」中將其卸載,然後打開注冊表編輯器(regedit),在HKEY_LOCAL_中找到PendingFileRenameOperations項目,並刪除它。
如果還不能解決,請看看有沒有安裝過3721上網助手,如果有請刪除它。
下面我說一下在XP下SQL2000的整個安裝過程:
一、找到目錄「MSDE」並進入,運行SETUP.EXE文件,並按照程序要求進行安裝。安裝完成重新啟動計算機。
二、運行AUTORUN.EXE文件,打開安裝界面後,點擊「安裝SQLserver2000組件(C)」=》「安裝資料庫伺服器(S)」這里程序將提示你「....伺服器組件在此系統上不受支持,.....」點「確定」。進入新的安裝界面,點擊「下一步」,選擇默認的「本地計算機」=》「創建新的SQLserver」=》「僅客戶端工具」...,一路點擊「下一步」。直至安裝結束。重新啟動計算機。
三、到「開始」--「程序」-「MicrosoftSQLServer」中打開「企業管理器」到「SQLServer組」下,將「[lcoal](WindowsNT)」改成自己的的機器名,機器名在系統屬性的「計算機名」里可以找到,假設我們的機器里的完整計算機名稱為:SERVER,改名後,我們就會得到如圖所示的樣子了。關閉「企業管理器」
四、到「開始」--「程序」-「MicrosoftSQLServer」中打開「客戶端網路實用工具」,點「別名」如果「伺服器別名配置」里沒有數據,我們需要手工添加,點「添加」按鈕。在「添加網路庫配置」的「網路庫」選項中,我們選擇默認的「NamedPipes(P)」項,並為伺服器取個別名「SERVER」,這時管道名稱會自動添加「\SERVERpipesqlquery」我們就不要管它了。點「確定」退出。
五、這一步我們要進入注冊進行一下修改了,在運行窗口輸入regedit,打開注冊表編輯器,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
MSSQLServerMSSQLServer],這一項,裡面有一個鍵值LoginMode默認值是「1」,現在將該值改為「2」(安裝MSDE時,默認的SQLServer身份驗證方式為「僅Windows"的身份驗證方式,即sa用戶無法驗證,通過修改以上的注冊表鍵值來將身份驗證方式改為SQLServer和Windows混合驗證以後,就可以用sa用戶登錄了)。修改完畢,重啟電腦。
希望能幫到你
⑸ 跪求SQL手工注入語句及原理
先舉個例子,你要登錄一個網站,上面讓你輸入用戶名字和密碼。那麼,假如你輸入的用戶名是
admin
,但是你不知道密碼,你就輸入了一個
1'
OR
'1'
=
'1
,那麼,你就提交了兩個參數給伺服器。假如,伺服器拿這兩個參數拼SQL語句:SELECT
T.*
FROM
XXX_TABLE
TWHERE
T.USER_ID
=
'/*param1*/'AND
T.PASSWORD
=
'/*param2*/'那麼,你提交的兩個參數就使SQL文變成了:SELECT
T.*
FROM
XXX_TABLE
TWHERE
T.USER_ID
=
'admin'AND
T.PASSWORD
=
'1'
OR
'1'
=
'1'那麼,這個SQL原來的校驗功能就被你繞過去了,你的這種行為就稱之為SQL注入。
⑹ sql等級證書
SQL
就那幾條
命令
。SQL主要是為了
高級語言
不是人為去使用的,大一
等你大三時
就會發現
這個問題
很可笑。
一般是高級語言C#.
C++
.易語言.
VB.
等等
會連接資料庫,SQL
只是資料庫語言,為了兼容高級語言
(''
資料庫SQL
)
和(「」高級語言)幾乎
會做網站的
都會資料庫知識。(注冊網站.游戲網站.企業)
SQL
查
更
刪
插
新建資料庫
新建表
表之間的關系
數據類型
主要考查詢
應為
資料庫
最主要的功能就是查詢
升序,倒序,資料庫的一些重要的函數。看了資料庫不光幾條命令,但是這些命令在我看了
就是多餘的。應為我只向裡面插入
修改,更新,刪除
查詢,其他的
都手工的。呵呵
新建資料庫
,新建表
,表之間的
處理
都是
很少用的
懂了
就行
。
但是
要是應付考試
就要好好背背了
⑺ 如何手工創建一個Oracle 10g資料庫
1.首先要有一個參數文件,這個我利用了歷史的參數文件
[oracle@dbstatsvr dbstat]$ sqlplus "/ as sysdba"
SQL*Plus: Release 10.2.0.2.0 - Proction on Thu Sep 17 18:21:20 2009
Copyright (c) 1982, 2005, Oracle. All Rights Reserved.
Connected to an idle instance.
SQL> startup nomount;
ORACLE instance started.
Total System Global Area 1778384896 bytes
Fixed Size 1261332 bytes
Variable Size 301990124 bytes
Database Buffers 1459617792 bytes
Redo Buffers 15515648 bytes
2.創建腳本,參考其他資料庫,編寫一個
SQL> create database dbstat
2 logfile group 1 ('/data1/dbstat/redo1.log') size 50M,
3 group 2 ('/data1/dbstat/redo2.log') size 50M,
4 group 3 ('/data1/dbstat/redo3.log') size 50M
5 character set ZHS16GBK
6 national character set utf8
7 datafile '/data1/dbstat/system.dbf'
8 size 500M autoextend on next 10M maxsize unlimited extent management local
12 sysaux datafile '/data1/dbstat/sysaux.dbf'
13 size 500M autoextend on next 10M maxsize unlimited
17 undo tablespace undotbs1
18 datafile '/data1/dbstat/undo.dbf' size 100M
20 default temporary tablespace temp
21 tempfile '/data1/dbstat/temp.dbf' size 100M;
Database created.
3.在後台跑一跑其他腳本:
[oracle@dbstatsvr dbstat]$ nohup sqlplus "/ as sysdba" @?/rdbms/admin/catalog.sql &
[1] 5399
[oracle@dbstatsvr dbstat]$ nohup: appending output to `nohup.out'
[oracle@dbstatsvr dbstat]$
[1]+ Stopped nohup sqlplus "/ as sysdba" @?/rdbms/admin/catalog.sql
[oracle@dbstatsvr dbstat]$
[oracle@dbstatsvr dbstat]$ nohup sqlplus "/ as sysdba" @?/rdbms/admin/catproc.sql &
[2] 5402
[oracle@dbstatsvr dbstat]$ nohup: appending output to `nohup.out'
這樣就基本上有了一個資料庫的雛形了。
4.還有一個腳本要運行
這是資料庫用普通用戶登錄會出現一個錯誤,提示以SYSTEM運行PUPBLD.SQL腳本:
SQL> connect sms/sms
Error accessing PRODUCT_USER_PROFILE
Warning: Proct user profile information not loaded!
You may need to run PUPBLD.SQL as SYSTEM
Connected.
這個腳本會創建一個表,用於限制用戶執行某些特定的SQL*PLUS命令:
SQL> @?/sqlplus/admin/pupbld.sql
DROP SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01434: private synonym to be dropped does not exist
DATE_VALUE FROM PRODUCT_USER_PROFILE
*
ERROR at line 3:
ORA-00942: table or view does not exist
DROP TABLE PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-00942: table or view does not exist
ALTER TABLE SQLPLUS_PRODUCT_PROFILE ADD (LONG_VALUE LONG)
*
ERROR at line 1:
ORA-00942: table or view does not exist
Table created.
DROP TABLE PRODUCT_PROFILE
*
ERROR at line 1:
ORA-00942: table or view does not exist
DROP VIEW PRODUCT_PRIVS
*
ERROR at line 1:
ORA-00942: table or view does not exist
View created.
Grant succeeded.
DROP PUBLIC SYNONYM PRODUCT_PROFILE
*
ERROR at line 1:
ORA-01432: public synonym to be dropped does not exist
Synonym created.
DROP SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01434: private synonym to be dropped does not exist
Synonym created.
DROP PUBLIC SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01432: public synonym to be dropped does not exist
Synonym created.
SQL> connect sms/sms
Connected.
⑻ 安裝SQL server2000 時出現:注冊ActiveX可執行文件時出現非嚴重錯誤:dcomscm.exe-193
重裝系統只說明你系統沒有問題,如果老是安裝不起的話,說明你的安裝文件有問題。你可以排除問題在哪個環接。
你可以換一個SQL2000的安裝光碟試一下
另外,裝好系統後可以先不安裝殺毒軟體等,先安裝SQL2000
⑼ 我有個游戲端,有MySQL資料庫,有登陸器。就是沒有注冊賬號的工具。 我聽說游戲賬號能自己手工添加
mysql資料庫,連接之後,進入Player 或者叫user 或者叫Id之類儲存賬戶的表,然後添加一個帳號,會有一個欄位叫id一個欄位叫user一個欄位叫Password,user裡面隨便輸入一個帳號,id欄位輸入一個不重復的帳號,比如前面是1,這里填2,然後網路md5加密,輸入帳號後,加密32位小寫密文,然後輸入到後面的password裡面。比如我的資料庫有一個用戶,id是:1 帳號是amdin 密碼是: (也就是解密後的admin) 現在我要加一個帳號,我這么填寫數據。id='2' user='admin1' password=''(解密後:amdin1) 然後保存,就成功的添加了。可以用vc+寫一個程序,然後加進登錄器裡面,登錄器就能實現登錄功能。