A. sql注入通俗說到底是什麼意思
一般開發,肯定是在前台有兩個輸入框,一個用戶名,一個密碼,會在後台里,讀取前台傳入的這兩個參數,拼成一段sql,例如:
select
count(1)
from
tab
where
usesr=userinput
and
pass
=
passinput,把這段sql連接數據後,看這個用戶名/密碼是否存在,如果存在的話,就可以登陸成功了,如果不存在,就報一個登陸失敗的錯誤。對吧。
但是有這樣的情況,這段sql是根據用戶輸入拼出來,如果用戶故意輸入可以讓後台解析失敗的字元串,這就是sql注入,例如,用戶在輸入密碼的時候,輸入
''''
'
or
1=1'',
這樣,後台的程序在解析的時候,拼成的sql語句,可能是這樣的:
select
count(1)
from
tab
where
user=userinput
and
pass=''
or
1=1;
看這條語句,可以知道,在解析之後,用戶沒有輸入密碼,加了一個恆等的條件
1=1,這樣,這段sql執行的時候,返回的
count值肯定大於1的,如果程序的邏輯沒加過多的判斷,這樣就能夠使用用戶名
userinput登陸,而不需要密碼。
防止sql注入,首先要對密碼輸入中的單引號進行過濾,再在後面加其它的邏輯判斷,或者不用這樣的動態sql拼。
B. 簡述什麼是SQL注入,寫出簡單的SQL注入語句
SQL注入:利用現有應用程序,將(惡意)的SQL命令注入到後台資料庫引擎執行的能力,這是SQL注入的標准釋義。
C. 我改寫的易語言程序,運行時沒有問題,可是添加數據時就提示指定欄位不存在,我檢查資料庫也沒有收獲
字元串欄位要轉義的,比如正常語句:INSERT INTO t1 (a,b) VALUES (1, '123');
這里的123是字元串,但是改成:12'3這樣後就變成了:INSERT INTO t1 (a,b) VALUES (1, '12'3');,這樣語句就是非法的。
以上是沒有轉義造成的,而且也是最危險的,會造成SQL注入攻擊。
還有其他可能,調試OK,編譯不OK就是調試和生產環境的資料庫不是同一個,或者表已經改變了,或者欄位真不存在,或者生產環境的語句和調試環境的語句不一樣等待。
D. 什麼是SQL注入
SQL注入:利用現有應用程序,將(惡意)的SQL命令注入到後台資料庫引擎執行的能力,這是SQL注入的標准釋義。
隨著B/S模式被廣泛的應用,用這種模式編寫應用程序的程序員也越來越多,但由於開發人員的水平和經驗參差不齊,相當一部分的開發人員在編寫代碼的時候,沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷,導致了攻擊者可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得一些他想得到的數據。
SQL注入利用的是正常的HTTP服務埠,表面上看來和正常的web訪問沒有區別,隱蔽性極強,不易被發現。
SQL注入攻擊過程分為五個步驟:
第一步:判斷Web環境是否可以SQL注入。如果URL僅是對網頁的訪問,不存在SQL注入問題,如:http://www.../162414739931.shtml就是普通的網頁訪問。只有對資料庫進行動態查詢的業務才可能存在SQL注入,如:http://www...../webhp?id=39,其中?id=39表示資料庫查詢變數,這種語句會在資料庫中執行,因此可能會給資料庫帶來威脅。
第二步:尋找SQL注入點。完成上一步的片斷後,就要尋找可利用的注入漏洞,通過輸入一些特殊語句,可以根據瀏覽器返回信息,判斷資料庫類型,從而構建資料庫查詢語句找到注入點。
第三步:猜解用戶名和密碼。資料庫中存放的表名、欄位名都是有規律可言的。通過構建特殊資料庫語句在資料庫中依次查找表名、欄位名、用戶名和密碼的長度,以及內容。這個猜測過程可以通過網上大量注入工具快速實現,並藉助破解網站輕易破譯用戶密碼。
第四步:尋找WEB管理後台入口。通常WEB後台管理的界面不面向普通用戶
開放,要尋找到後台的登陸路徑,可以利用掃描工具快速搜索到可能的登陸地址,依次進行嘗試,就可以試出管理台的入口地址。
第五步:入侵和破壞。成功登陸後台管理後,接下來就可以任意進行破壞行為,如篡改網頁、上傳木馬、修改、泄漏用戶信息等,並進一步入侵資料庫伺服器。
SQL注入攻擊的特點:
變種極多,有經驗的攻擊者會手動調整攻擊參數,致使攻擊數據的變種是不可枚舉的,這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊,難以防範。
攻擊過程簡單,目前互聯網上流行眾多的SQL注入攻擊工具,攻擊者藉助這些工具可很快對目標WEB系統實施攻擊和破壞。
危害大,由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少,大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功,可以對控制整個WEB業務系統,對數據做任意的修改,破壞力達到及至。
SQL注入的危害和現狀
SQL注入的主要危害包括:
未經授權狀況下操作資料庫中的數據
惡意篡改網頁內容
私自添加系統帳號或者是資料庫使用者帳號
網頁掛木馬
如何防止SQL參數:
1,檢查上傳的數據,並過濾
2. 禁止拼接SQL字元串
3.使用SQL參數化處理
4.載入防入侵等硬體設施
E. 易語言MySQL除了替換關鍵字怎麼防注入
易語言MySQL除了替換關鍵字怎麼防注入
防止SQL注入,我們需要注意以下幾個要點:
1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和 雙"-"進行轉換等。
2.永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。
4.不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。
5.應用的異常信息應該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝
6.sql注入的檢測方法一般採取輔助軟體或網站平台來檢測,軟體一般採用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入,XSS攻擊等。
F. 易語言怎麼將sql文件導入資料庫
打開navicat.exe,點擊打開資料庫,右鍵-運行SQL文件,選中要運行的sql文件,確定後再點擊表即可。
注意:此次改變後,源sql文件可以轉移路徑
G. 怎麼在易語言里添加SQL的語句啊
我運行後,點查詢按鈕卻不按條件顯示,我的意思是如果輸入編框內容,就查詢表身份證與編輯框內容一樣的一行,並顯示到高級表中。否則提示出錯 。 ,uFVtzI
H. sql注入漏洞是哪個年份發生的呢有沒有什麼重大的歷史事件
2004年某大牛發現的。
然後一系列大站落網。
07年騰訊被黑屬實!
聯通也被黑過。
我從黑X上面看到的,黑客X檔案
=================================
過主動和雲查殺的MD5變異程序源碼
遠程式控制制軟體[獨立個人版]
DDOS壓力測試(攻擊個人電腦,網站,伺服器)
驅動鍵盤記錄器[開機到關機-離線記錄-所有鍵盤操作]
網吧破解工具(包括pubwin2009)
注意!!!
拒絕非法業務!非法使用軟體造成的一切後果由使用者承擔!
【技術教授】
各類遠控使用
免殺技術[內存-主動-雲]
批量抓雞[漏洞溢出,網頁掛馬,埠溢出]
編程學習:易語言木馬編寫[假窗口+內存截取]
網站檢測:SQL注入攻擊,DDOS攻擊
教學方式:
手把手教學
QQ遠程協助操作+教程
問題隨便問,學會為止,不另收*(費!
**暑期打折優惠+送工具+送空間+送網站webshell**
==連戲扣摳=====①伍②巴溜巴溜巴巴零
***********************************************************
I. 怎樣使用sql注入語句
一般,SQL 注入是 SQL語句直接是從頁面獲得值進行拼接的。
如果
12
string strUserid = "admin"; //從頁面獲得輸入內容string strSql = "select 1 from users where userid='" + strUserid + "' ";
若 strUserid 正常輸入,是沒問題的。
1
select 1 from users where userid='admin'
但,SQL注入時候會這樣寫
1
string strUserid = "' or 1=1 --";
這時,SQL為
1
select 1 from users where userid='' or 1=1 --'
這樣永遠返回驗證通過的結果。