当前位置: 首页 > news >正文

字符型注入

news 2025/2/21 3:09:33

目录

    • 前言
    • 步骤

前言

开发人员在设计功能时,不需要id注入查询这个功能,但是忘记删除这个功能点,也没有做过滤,导致存在SQL注入漏洞

步骤

测试发现存在字符型注入

在这里插入图片描述

注释多余语句
在这里插入图片描述
查询数据库的列数,是3列
在这里插入图片描述
user表不存在
在这里插入图片描述
查询数据库里的表
在这里插入图片描述
查询users表里的列名
在这里插入图片描述
这个命令可以显示数据库所有的表
在这里插入图片描述
多敲了where table_schema=database(),所以查询的是当前选中的数据库,把这个去掉就可以查询所有

查询flag的列名都有那些
在这里插入图片描述
查询直接获取数据失败,因为这个flag不在当前连接的数据库里面
在这里插入图片描述
查到了表所在的库
在这里插入图片描述
查询表里的数据
在这里插入图片描述
直接输*是查不了的,因为查询出来数据的列数和显示的列数要一致,不然会报错
在这里插入图片描述


http://www.mrgr.cn/news/78457.html

相关文章:

  • 六大排序算法:插入排序、希尔排序、选择排序、冒泡排序、堆排序、快速排序
  • 51c大模型~合集79
  • 性能监控系统Prometheus整合到Grafana教程详解搭建
  • 【Leetcode 每日一题】3250. 单调数组对的数目 I
  • Qt—QLabel 使用总结
  • 工作记录—DUYAO-JIEYAO系统进化与单倍型分析
  • 使用docker搭建hysteria2服务端
  • 阅文集团大数据面试题及参考答案
  • STL算法之基本算法<stl_algobase.h>
  • python的数据统计与处理
  • ChatGPT/AI辅助网络安全运营之-数据解压缩
  • 《气候变化研究进展》
  • 搭建私有云存储
  • AI界的信仰危机:单靠“规模化”智能增长的假设,正在面临挑战
  • 【C++】cin、cout基础编程题:完整解析与优化解法
  • 水体分割检测 包含YOLOV,COCO,VOC三种标记的数据集包含 857张图片
  • Android Glide批量加载Bitmap,拼接组装大Bitmap,更新单个AppCompatImageView,Kotlin(3)
  • SQL Server 中的游标:介绍、效率、使用场景及替代方法对比
  • 嵌入式C语言技巧15:深入浅出:多线程编程中锁的选择与优化策略
  • Linux(ubuntu)系统的一些基本操作和命令(持续更新)