⑴ 跪求sql手工注入语句及原理
先举个例子,你要登录一个网站,上面让你输入用户名字和密码。那么,假如你输入的用户名是 admin ,但是你不知道密码,你就输入了一个 1' OR '1' = '1 ,那么,你就提交了两个参数给服务器。假如,服务器拿这两个参数拼SQL语句:SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = '/*param1*/'AND T.PASSWORD = '/*param2*/'那么,你提交的两个参数就使SQL文变成了:SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = 'admin'AND T.PASSWORD = '1' OR '1' = '1'那么,这个SQL原来的校验功能就被你绕过去了,你的这种行为就称之为SQL注入。
⑵ sql注入问题
通过程序代码拼接的sql是动态构造的,由一个不变的基查询字符串和一个用户输入字符串连接而成。例如一个攻击者在前端文本框中输入字符串“name' OR 'a'='a”,那么构造的查询就会变成:SELECT * FROM XXX WHERE _file = 'name' OR 'a'='a';
可以见得附加条件 OR 'a'='a' 会使 where 从句永远评估为 true,因此该查询在逻辑上将等同于一个更为简化的查询:SELECT * FROM items;
你说的1、2、3步骤总结到最后就是输入上述的那种字符串
⑶ 手工注入sql的时候总是遇到2和11, 这两个数字有什么特别之处吗
你用了什么语句才出现2和11这两个数字的?
⑷ SQL Server2000企业版在XP下的安装
你发上来图片是说你的安装文件夹下的SQLRUN.cab文件错误或丢失了(如图),至于卸载问题你可以尝试打开注册表编辑器(regedit),在HKEY_LOCAL_中找到PendingFileRenameOperations项目,并删除它。
另外:
建议你下载个SQL中文版SP4来装吧。
对于四楼的疑问:我本人是在XP下安装了SQL中文版的SP4使用将近一年没有发现问题
如有问题可加群75937694大家一起探讨一下,我新建的群
本人可以负责任的说,XP下是可以安装SQL企业版服务器端和客户端的。
“指定实例名无效”通常是你已安装过SQL2000或卸载不完全。
如果你以前安装过SQL2000,先在控制面板的“添加或删除程序”中将其卸载,然后打开注册表编辑器(regedit),在HKEY_LOCAL_中找到PendingFileRenameOperations项目,并删除它。
如果还不能解决,请看看有没有安装过3721上网助手,如果有请删除它。
下面我说一下在XP下SQL2000的整个安装过程:
一、找到目录“MSDE”并进入,运行SETUP.EXE文件,并按照程序要求进行安装。安装完成重新启动计算机。
二、运行AUTORUN.EXE文件,打开安装界面后,点击“安装SQLserver2000组件(C)”=》“安装数据库服务器(S)”这里程序将提示你“....服务器组件在此系统上不受支持,.....”点“确定”。进入新的安装界面,点击“下一步”,选择默认的“本地计算机”=》“创建新的SQLserver”=》“仅客户端工具”...,一路点击“下一步”。直至安装结束。重新启动计算机。
三、到“开始”--“程序”-“MicrosoftSQLServer”中打开“企业管理器”到“SQLServer组”下,将“[lcoal](WindowsNT)”改成自己的的机器名,机器名在系统属性的“计算机名”里可以找到,假设我们的机器里的完整计算机名称为:SERVER,改名后,我们就会得到如图所示的样子了。关闭“企业管理器”
四、到“开始”--“程序”-“MicrosoftSQLServer”中打开“客户端网络实用工具”,点“别名”如果“服务器别名配置”里没有数据,我们需要手工添加,点“添加”按钮。在“添加网络库配置”的“网络库”选项中,我们选择默认的“NamedPipes(P)”项,并为服务器取个别名“SERVER”,这时管道名称会自动添加“\SERVERpipesqlquery”我们就不要管它了。点“确定”退出。
五、这一步我们要进入注册进行一下修改了,在运行窗口输入regedit,打开注册表编辑器,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
MSSQLServerMSSQLServer],这一项,里面有一个键值LoginMode默认值是“1”,现在将该值改为“2”(安装MSDE时,默认的SQLServer身份验证方式为“仅Windows"的身份验证方式,即sa用户无法验证,通过修改以上的注册表键值来将身份验证方式改为SQLServer和Windows混合验证以后,就可以用sa用户登录了)。修改完毕,重启电脑。
希望能帮到你
⑸ 跪求SQL手工注入语句及原理
先举个例子,你要登录一个网站,上面让你输入用户名字和密码。那么,假如你输入的用户名是
admin
,但是你不知道密码,你就输入了一个
1'
OR
'1'
=
'1
,那么,你就提交了两个参数给服务器。假如,服务器拿这两个参数拼SQL语句:SELECT
T.*
FROM
XXX_TABLE
TWHERE
T.USER_ID
=
'/*param1*/'AND
T.PASSWORD
=
'/*param2*/'那么,你提交的两个参数就使SQL文变成了:SELECT
T.*
FROM
XXX_TABLE
TWHERE
T.USER_ID
=
'admin'AND
T.PASSWORD
=
'1'
OR
'1'
=
'1'那么,这个SQL原来的校验功能就被你绕过去了,你的这种行为就称之为SQL注入。
⑹ sql等级证书
SQL
就那几条
命令
。SQL主要是为了
高级语言
不是人为去使用的,大一
等你大三时
就会发现
这个问题
很可笑。
一般是高级语言C#.
C++
.易语言.
VB.
等等
会连接数据库,SQL
只是数据库语言,为了兼容高级语言
(''
数据库SQL
)
和(“”高级语言)几乎
会做网站的
都会数据库知识。(注册网站.游戏网站.企业)
SQL
查
更
删
插
新建数据库
新建表
表之间的关系
数据类型
主要考查询
应为
数据库
最主要的功能就是查询
升序,倒序,数据库的一些重要的函数。看了数据库不光几条命令,但是这些命令在我看了
就是多余的。应为我只向里面插入
修改,更新,删除
查询,其他的
都手工的。呵呵
新建数据库
,新建表
,表之间的
处理
都是
很少用的
懂了
就行
。
但是
要是应付考试
就要好好背背了
⑺ 如何手工创建一个Oracle 10g数据库
1.首先要有一个参数文件,这个我利用了历史的参数文件
[oracle@dbstatsvr dbstat]$ sqlplus "/ as sysdba"
SQL*Plus: Release 10.2.0.2.0 - Proction on Thu Sep 17 18:21:20 2009
Copyright (c) 1982, 2005, Oracle. All Rights Reserved.
Connected to an idle instance.
SQL> startup nomount;
ORACLE instance started.
Total System Global Area 1778384896 bytes
Fixed Size 1261332 bytes
Variable Size 301990124 bytes
Database Buffers 1459617792 bytes
Redo Buffers 15515648 bytes
2.创建脚本,参考其他数据库,编写一个
SQL> create database dbstat
2 logfile group 1 ('/data1/dbstat/redo1.log') size 50M,
3 group 2 ('/data1/dbstat/redo2.log') size 50M,
4 group 3 ('/data1/dbstat/redo3.log') size 50M
5 character set ZHS16GBK
6 national character set utf8
7 datafile '/data1/dbstat/system.dbf'
8 size 500M autoextend on next 10M maxsize unlimited extent management local
12 sysaux datafile '/data1/dbstat/sysaux.dbf'
13 size 500M autoextend on next 10M maxsize unlimited
17 undo tablespace undotbs1
18 datafile '/data1/dbstat/undo.dbf' size 100M
20 default temporary tablespace temp
21 tempfile '/data1/dbstat/temp.dbf' size 100M;
Database created.
3.在后台跑一跑其他脚本:
[oracle@dbstatsvr dbstat]$ nohup sqlplus "/ as sysdba" @?/rdbms/admin/catalog.sql &
[1] 5399
[oracle@dbstatsvr dbstat]$ nohup: appending output to `nohup.out'
[oracle@dbstatsvr dbstat]$
[1]+ Stopped nohup sqlplus "/ as sysdba" @?/rdbms/admin/catalog.sql
[oracle@dbstatsvr dbstat]$
[oracle@dbstatsvr dbstat]$ nohup sqlplus "/ as sysdba" @?/rdbms/admin/catproc.sql &
[2] 5402
[oracle@dbstatsvr dbstat]$ nohup: appending output to `nohup.out'
这样就基本上有了一个数据库的雏形了。
4.还有一个脚本要运行
这是数据库用普通用户登录会出现一个错误,提示以SYSTEM运行PUPBLD.SQL脚本:
SQL> connect sms/sms
Error accessing PRODUCT_USER_PROFILE
Warning: Proct user profile information not loaded!
You may need to run PUPBLD.SQL as SYSTEM
Connected.
这个脚本会创建一个表,用于限制用户执行某些特定的SQL*PLUS命令:
SQL> @?/sqlplus/admin/pupbld.sql
DROP SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01434: private synonym to be dropped does not exist
DATE_VALUE FROM PRODUCT_USER_PROFILE
*
ERROR at line 3:
ORA-00942: table or view does not exist
DROP TABLE PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-00942: table or view does not exist
ALTER TABLE SQLPLUS_PRODUCT_PROFILE ADD (LONG_VALUE LONG)
*
ERROR at line 1:
ORA-00942: table or view does not exist
Table created.
DROP TABLE PRODUCT_PROFILE
*
ERROR at line 1:
ORA-00942: table or view does not exist
DROP VIEW PRODUCT_PRIVS
*
ERROR at line 1:
ORA-00942: table or view does not exist
View created.
Grant succeeded.
DROP PUBLIC SYNONYM PRODUCT_PROFILE
*
ERROR at line 1:
ORA-01432: public synonym to be dropped does not exist
Synonym created.
DROP SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01434: private synonym to be dropped does not exist
Synonym created.
DROP PUBLIC SYNONYM PRODUCT_USER_PROFILE
*
ERROR at line 1:
ORA-01432: public synonym to be dropped does not exist
Synonym created.
SQL> connect sms/sms
Connected.
⑻ 安装SQL server2000 时出现:注册ActiveX可执行文件时出现非严重错误:dcomscm.exe-193
重装系统只说明你系统没有问题,如果老是安装不起的话,说明你的安装文件有问题。你可以排除问题在哪个环接。
你可以换一个SQL2000的安装光盘试一下
另外,装好系统后可以先不安装杀毒软件等,先安装SQL2000
⑼ 我有个游戏端,有MySQL数据库,有登陆器。就是没有注册账号的工具。 我听说游戏账号能自己手工添加
mysql数据库,连接之后,进入Player 或者叫user 或者叫Id之类储存账户的表,然后添加一个帐号,会有一个字段叫id一个字段叫user一个字段叫Password,user里面随便输入一个帐号,id字段输入一个不重复的帐号,比如前面是1,这里填2,然后网络md5加密,输入帐号后,加密32位小写密文,然后输入到后面的password里面。比如我的数据库有一个用户,id是:1 帐号是amdin 密码是: (也就是解密后的admin) 现在我要加一个帐号,我这么填写数据。id='2' user='admin1' password=''(解密后:amdin1) 然后保存,就成功的添加了。可以用vc+写一个程序,然后加进登录器里面,登录器就能实现登录功能。