記錄一個sql注入的漏洞

阿新 • • 發佈：2020-12-10

HTML

1.標籤

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>基本標籤學習</title>
</head>
<body>
<!--標題標籤-->
<h1>一級標籤</h1>
<h2>二級標籤</h2>
<h3>三級標籤</h3>
<h4>四級標籤</h4>
<h5>五級標籤</h5>
<h6>六級標籤</h6>

<!--水線線標籤-->
<hr/>

<!--段落標籤-->
<p>兩隻老虎</p>
<p>跑得快</p>
<p>一直沒有       耳朵</p>
<p>一隻沒有       尾巴</p>

<!--換行標籤-->
兩隻老虎<br/>
跑得快<br/>
一直沒有       耳朵<br/>
一隻沒有       尾巴<br/>
<!--粗體，斜體-->
粗體：<strong>i love you</strong>
斜體：<em>i love you</em>
<br/>
<!--特殊符號-->
空格&nbsp;&nbsp;&nbsp;&nbsp;空     格
<br/>
大於號：&gt;
<br/>
小於號：&lt
<br/>
&copy;版權某某
<!--
特殊符號記憶模式

-->
</body>
</html>

2.影象標籤

常見的影象
- JPG
- GIF
- PNG
- BMP
- ...

<img src="path" alt="text" title="text" width="x" height="y" />

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>影象標籤</title>
</head>
<body>
<!--img學習
src:圖片地址
    相對地址（推薦使用），絕對地址
    ../        上一級目錄
-->
<!--alt 載入失敗-->
<img src="../resources/image/1.png" alt="風景圖" title="懸停文字" width="1080" height="900">

</body>
</html>

連結標籤

文字超連結
影象超連結

<a href="path" target="目標視窗位置">連結文字或影象</a>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>連結標籤</title>
</head>
<body>

<a name="top">頂部</a>
<!--a標籤
href:必填，表示要跳轉到那個頁面
target:表示視窗在哪裡開啟
    _blank  在新的標籤中開啟
    _self  在自己的網頁中開啟

-->
<a href="我的第一個網頁.html" target="_blank">點選跳轉到頁面</a>
<a href="http://www.baidu.com" target="_self">點選跳轉百度</a>
<a href="我的第一個網頁.html">
    <img src="../resources/image/1.png" alt="風景畫" >
</a>
<p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p>
<p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p><p>
    <a href="我的第一個網頁.html">
        <img src="../resources/image/1.png" alt="風景畫" >
    </a>
</p>
<!--錨鏈接
1.需要一個錨標記
2.跳轉到標記
#
-->
<a href="#top">回到頂部</a>
</body>
</html>

媒體標籤

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>媒體元素學習</title>
</head>
<body>

<!--音訊和視訊
src：資源路徑
controls：控制條
autoplay：自動播放
-->
<!--<video src="../resources/video/1.mp4" controls autoplay></video>-->
<audio src="../resources/audio/張小夥,粥粥zxr%20-%20顧.mp3" controls autoplay></audio>
</body>
</html>

iframe內聯框架

<iframe src="path" name="mainFrame"></iframe>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<!--iframe內聯框架
src:地址
w-h：寬度高度
-->
<iframe src="https://www.cnblogs.com/lemonlover/" name="hello"  frameborder="0" width="1000" height="800"></iframe>
<a href="https://www.cnblogs.com/lemonlover/" target="hello">點選跳轉</a>
</body>
</html>

表單語法

<form method="post" action="result.html">
	<p>名字:<input name="name" type="text" ></p>
	<p>密碼:<input name="pass" type="password" ></p>
	<p>
		<input type="submit" name="Button" value="提交"/>
		<input type="reset" name="Reset" value="重填"/>
	</p>
</form>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>表單</title>
</head>
<body>
<h1>註冊</h1>
<!--表單form
action：表單提交的位置，可以是網站，也可以是一個請求處理地址
method:post/get提交方式
    get方式提交：我們可以在url中看到我們提交的資訊，不安全，高效
    post：比較安全，傳輸大檔案
-->
<form action="我的第一個網頁.html" method="post">
    <!--文字輸入框：input type="text"
    value="xxxxxxxx"  預設初始值
    maxlength="8"   最長能寫幾個字元
    size="30"       文字框的長度
    -->
    <p>
        名字：<input type="text" name="username">
    </p>
    <p>
        密碼：<input type="password" name="password">
    </p>
    <!--單選框
    input type="radio"
    value: 單選框的值
    name：表示組
    -->
    <p>
        <input type="radio" value="boy" name="sex"/>男
        <input type="radio" value="girl" name="sex"/>女
    </p>
    <!--多選框

    -->
    <p>愛好：
        <input type="checkbox" value="sleep" name="hobby">睡覺
        <input type="checkbox" value="code" name="hobby">敲程式碼
        <input type="checkbox" value="chat" name="hobby">聊天
        <input type="checkbox" value="game" name="hobby">打遊戲
        <input type="checkbox" value="music" name="hobby">聽音樂

    </p>
    <!--按鈕
    input type="button"  普通按鈕
    input type="image"  影象按鈕
    input type="submit"  提交按鈕
    input type="reset"  重置按鈕
    -->
    <p>按鈕：
        <input type="button" name="btn1" value="點選XX">
        <input type="image" src="../resources/image/1.png">
    </p>
    <!--下拉框，列表框
    -->
    <p>國家：
        <select name="列表名稱" id="">
            <option value="china">中國</option>
            <option value="us">美國</option>
            <option value="eth">瑞士</option>
            <option value="yindu">印度</option>
        </select>
    </p>
    <!--文字域
    cols="50" rows="10"-->
    <p>反饋：
        <textarea name="textarea" cols="30" rows="10">文字內容</textarea>
    </p>
    <!--文字域
    input type="file" name="file"
    -->
    <p>
        <input type="file" name="files">
        <input type="button" value="上傳" name="upload">
    </p>
    <p>郵箱：
        <input type="email" name="email" />
    </p>

    <p>URL:
        <input type="url" name="url"/>
    </p>
    <!--數字-->
    <p>數字
        <!--step="n"每次增加/減少n-->
        <input type="number" name="num" max="100" min="10" step="1">
    </p>
    <!--滑塊
    input type="range"
    -->
    <p>音量：
        <input type="range" name="voice" min="0" max="100" step="2">
    </p>

    <!--搜尋框-->
    <p>搜尋：
        <input type="search" name="search" >
    </p>
    <p>
        <input type="submit">
        <input type="reset" value="清空表單">
    </p>
</form>
</body>
</html>

表單應用

隱藏域hidden
只讀readonly
禁用disabled

表單初級驗證

常用方式
- placeholder提示資訊
- required非空判斷
- pattern 正則表示式

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>表單</title>
</head>
<body>
    <form>
        <p>名字
            <!--required 非空欄位-->
            <input type="text" name="username" placeholder="請輸入使用者名稱" required>
        </p>
        <p>密碼
            <input type="password" name="psw" placeholder="請輸入密碼" required>
        </p>
        <p>自定義郵箱
            <input type="text" name="diyeamil" pattern="^\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$">
        </p>
        <p>
            <input type="submit">
            <input type="reset">
        </p>
    </form>
</body>
</html>

記錄一個sql注入的漏洞

技術標籤：sql資料訪問資料庫背景說明滲透測試的時候，發現圖片庫的搜尋框存在sql注入漏洞，攻擊者利用該漏洞可執行’"<>&*等sql語句，造成資料庫訪問異常，甚至進行脫庫

SQL注入漏洞過程例項及解決方案

程式碼示例： public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱，用這種方式便可不用知道密碼就可登陸成功

Drupal<7.32“Drupalgeddon”SQL注入漏洞（CVE-2014-3704）

一、漏洞簡介 Drupal 是一款用量龐大的CMS，其7.0~7.31版本中存在一處無需認證的SQL漏洞。通過該漏洞，攻擊者可以執行任意SQL語句，插入、修改管理員資訊，甚至執行任意程式碼。

SQL注入漏洞的解決PreparedStetament

JDBCUtil 工具集 package com.imooc.jdbc.utils; import java.io.IOException; import java.io.InputStream;

記錄一個SQL語句 case select 1

select Code, CodeName, CodeAlias, ComCode, OtherSign from ldcode where codetype = \'edorapptype\' and code <> (case

Web安全-Joomla核心SQL注入漏洞利用

實驗宣告：本實驗教程僅供研究學習使用，請勿用於非法用途，違者一律自行承擔所有風險！

SQL注入漏洞--報錯注入

報錯注入報錯注入在沒法用union聯合查詢時用，但前提還是不能過濾一些關鍵的函式。

SQL注入漏洞--盲注和寬位元組注入

盲注是注入的一種，指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測，實施SQL注入。盲注一般分為布林盲注和基於時間的盲注和報錯的盲注。

【從入門到放棄系列學習筆記8】web應用安全基礎整理-SQL注入漏洞利用

一、SQL簡介　　結構化查詢語言（structured Query language），是一種特殊的程式語言，用於資料庫中的標準資料查詢。

Django GIS SQL注入漏洞復現（CVE-2020-9402）

漏洞概述： Django是Django基金會的一套基於Python語言的開源Web應用框架。該框架包括面向物件的對映器、檢視系統、模板系統等。 Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x

vulhub漏洞復現-Django JSONField SQL注入漏洞復現（CVE-2019-14234）

Django JSONField SQL注入漏洞復現（CVE-2019-14234）漏洞概述： Django通常搭配postgresql資料庫，而JSONField是該資料庫的一種資料型別。該漏洞的出現的原因在於Django中JSONField類的實現，Django的mode

基於機器學習的 SQL 注入漏洞挖掘技術的分析與實現——論文研究學習

論文研究學習總體介紹和概括這篇文章，首先從介紹SQL注入的背景入手，這裡點到了產生原因、影響、攻擊型別和傳統的漏洞注入技術。然後提出基於機器學習的 SQL 注入漏洞挖掘方法，這裡的指的是利用S

可怕的漏洞，SQL注入漏洞實戰演習

簡介在owasp釋出的top10排行榜裡，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞裡面首當其衝的就是資料庫注入漏洞（在最新的型別中：命令注入、程式碼注入、xss注入、sql注入等已經合併統稱注入漏洞）。一個

徹底幹掉噁心的 SQL 注入漏洞，一網打盡！

來源： b1ngz b1ngz.github.io/java-sql-injection-note/ 簡介文章主要內容包括： Java 持久層技術/框架簡單介紹不同場景/框架下易導致 SQL 注入的寫法如何避免和修復 SQL 注入

Magento 2.2 SQL注入漏洞

技術標籤：WEB安全漏洞復現magento安全漏洞宣告好好學習，天天向上漏洞描述 Magento（麥進鬥）是一款新的專業開源電子商務平臺，採用php進行開發，使用Zend Framework框架。設計得非常靈活，具有模組化架構體

SQL注入漏洞基礎拓展

文章目錄一、SQL盲注在有些情況下，應用查詢後臺使用了錯誤訊息遮蔽方法（比如@）遮蔽了報錯，此時無法再根據報錯資訊來進行注入的判斷。這種情況下的注入，稱為“盲注” 根據表現形式的不同，盲

HW常見攻擊方式 -- SQL注入漏洞

一、產生原因程式碼與資料不區分。程式把使用者輸入的惡意內容傳入SQL語句中執行,導致SQL注入漏洞產生。

phpcms_v9.6.0 SQL注入漏洞分析

環境： phpstudy本地搭建phpcms apache2.4.39+php5.3.29+mysql8.0.12 漏洞影響版本： PHPCMS 9.6.0

4 個單詞，谷歌返回 16 個 SQL 注入漏洞...

文 | 局長出品 | OSC開源社群（ID：oschina2013）一名開發者出於好奇在 Google 使用php mysql email register作為關鍵詞進行了搜尋。很顯然，這是在查詢如何使用 PHP 和 MySQL 實現郵箱註冊的功能。

某團購CMS的SQL注入漏洞程式碼審計

0x00 SQL注入漏洞：簡單介紹一下SQL語句：通俗來理解就是開發者盲目相信使用者，沒有嚴格檢查使用者輸入，導致使用者可以輸入惡意引數進入程式邏輯，最終拼接惡意引數改變原本的SQL語句邏輯，造成SQL注入漏洞。

記錄一個sql注入的漏洞

HTML

1.標籤

2.影象標籤

連結標籤

媒體標籤

iframe內聯框架

表單語法

表單應用

表單初級驗證

相關推薦