SQL注入 之简要入门

8adcf2a01503e67eac3ddfeb90730e63
407c461beb65fd54d16ba0f0b68eb5e5
SQL 注入(SQL Injection)是一种常见的网络攻击手段,攻击者通过在输入字段或请求中注入恶意的 SQL 语句,操控数据库执行意图之外的操作。

示例如图:
在url后加入?id=1来查询注入点
3ae6dfd3b03b5a04678998fc34b9db10

如何判断注入点
image

获取数据的过程:

  1. 判断列数 order by... 一直猜到页面错误,列数可得
  2. 获取数据库名 database()
  3. 获取表名 tables ()
  4. 获取列名
  5. 获取数据
    [还可以获取数据库版本 version()、操作系统 @@version_compile_os、数据库用户 user()]
    image

万能密码https://zhuanlan.zhihu.com/p/485448815#:~:text=%E3%80%90%E5%8F%8C%E5%BC%95%E5%8F%B7%E5%AD%97%E7%AC%A6%E5%9E%8B%E4%B8%87%E8%83%BD%E5%AF%86%E7%A0%81%E3%80%91%20a%22%20or%20true%20#%20a%22%20or%201,a%20a%22%20or%201=1%20--%20a%201.1%20%E4%B8%87%E8%83%BD%E8%B4%A6%E5%8F%B7%E7%9A%84%E4%BD%BF%E7%94%A8

posted @ 2025-11-01 15:03  Chenlu_66  阅读(5)  评论(0)    收藏  举报