本篇内容较短,但是我自己整理出来的精品
注入即是指web应用程序对用户输入数据的合法性没有判断或滤不严,攻击者可以在web应用程序
中事先定义好的查询语句的结尾上添加额外的执行语句,在管理员不知情的情况下实现非法操作
,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令目的的入侵行为
SQL命令可以进行查询、插入、删除等操作,直接将这些命令拼接起来,所以你提交这些命令之后,就可以间接的操控数据库了
Select *from Table where Name= 'Admin'其中 # 是注释的意思and Password=' YY'这个语句的意思是不是完全发生了改变?为(admin的用户名,哪怕不存在这个用户名他也是可他现在变成了从Table中挑选 Name=以登录的.因为 or 是 两边有一个为真,全部就都为真。所以现在任意的账号都可以登录,哪怕不输入密码
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
