2. 程式人生 > 其它 >SQL注入攻擊

SQL注入攻擊

阿新 發佈:2022-03-10

昨天開始接觸到CTF、網路安全等知識,對網路安全方面有了初步的瞭解。

今天試一下攻擊之前自己做的winform測試程式。

登入介面:

 

 登入的主要程式碼:

private void button1_Click(object sender, EventArgs e)
        {
            if (textBox1.Text == "" || textBox2.Text == "")
            {
                MessageBox.Show("賬號密碼不能為空");
                return;
            }
            SqlConnection conn 
 
= ConnDB.DBConnection();
            conn.Open();
            string sql = @"select * from DnUser where account = '{0}' and password = '{1}'";
            sql = string.Format(sql, textBox1.Text, textBox2.Text);
            SqlCommand cmd = new SqlCommand(sql, conn);
            string account = (string
 
)cmd.ExecuteScalar();
            if (textBox1.Text == account)
            {
                Program.account = textBox1.Text;
                this.DialogResult = DialogResult.OK;
                conn.Close();
                this.Close();
            }
            else
            {
                MessageBox.Show(sql
 
+"賬號密碼錯誤");
            }
            
        }

sql語句是動態拼接的,沒有識別輸入字元的格式,也沒有過濾單引號、括號等特殊字元,這就帶來了安全隱患。

開始攻擊:

在賬號欄輸入以下語句,點選登入,就可以往資料庫插入一條資料。

1';  insert into DnUser values('3','3'); --

 

 查詢資料庫,發現多了一條記錄。

 

 接下來就可以用賬號為3,密碼為3的賬戶登入系統了。

相關推薦

使用keras做SQL注入攻擊的判斷(例項講解)

本文是通過深度學習框架keras來做SQL注入特徵識別, 不過雖然用了keras,但是大部分還是普通的神經網路,只是外加了一些規則化、dropout層(隨著深度學習出現的層)。

使用Python防止SQL注入攻擊的實現示例

文章背景 每隔幾年,開放式Web應用程式安全專案就會對最關鍵的Web應用程式安全風險進行排名。自第一次報告以來,注入風險高居其位!在所有注入型別中,SQL注入是最常見的攻擊手段之一,而且是最危險的。由於Python是

Web安全之SQL注入攻擊技巧與防範(轉)

add by zhj: 作者總結了防止SQL的幾種辦法,終極辦法是資料庫(如MySQL)自身提供的預編譯功能,即先將SQL語句中的引數用?替換,發給資料庫進行預編譯,得到編譯結果後再傳入引數替換?,執行SQL

封神臺靶場:第一章:為了女神小芳!【配套課時:SQL注入攻擊原理 實戰演練】

靶場直鏈 http://59.63.200.79:8003/ 請求方式GET   閉合方式未知 注入方式聯合,布林,延時

Mybatis之預防SQL注入攻擊

文章目錄 1. 什麼是SQL注入攻擊 sql注入是指攻擊者利用SQL漏洞,繞過系統約束,越權獲取資料的攻擊方式

SQL注入攻擊,嚇死寶寶了

SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。那麼,什麼是SQL注入SQL注入是怎麼發生的?如何防止SQL注入。我們今天就來了解一下。

SQL注入攻擊技術(二)---注入分類

一、注入分類 用到網站:http://192.168.18.147:666/pikachu/index.php    開啟burp suite 1、數字型

mysql SQL注入攻擊 解決Orm工具Hibernate,Mybatis, MiniDao 的 sql 預編譯語句 ;解決非Orm工具JDBCTemplate的

sql 預編譯語句_牛客部落格 https://blog.nowcoder.net/n/198be55df4a4406d8eb9dc2482272061?from=nowcoder_improve

SQL注入攻擊

昨天開始接觸到CTF、網路安全等知識,對網路安全方面有了初步的瞭解。 今天試一下攻擊之前自己做的winform測試程式。

什麼是 SQL 注入攻擊

SQL 注入就是通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字串,伺服器拿到這個字串之後,會把這個字串作為 sql 的執行引數去資料庫查詢,然而這個引數是惡意的,以至於伺服器執行這條 sql 命令之

預防SQL注入攻擊之我見

1、 SQL注入攻擊的本質:讓客戶端傳遞過去的字串變成SQL語句,而且能夠被執行。

【JDBC】學習路徑3-密碼登入&SQL注入攻擊

最後再提醒一句,每次在測試JDBC程式的時候,一定要確保MySQL正在執行。 開啟控制檯(終端),輸入mysql

CSRF攻擊&XSS攻擊&SQL注入

概述 ​在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等標籤以及 Ajax 都可以指向一個資源地址,而所謂的跨域請求就是指:當前發起請求的域與該請求指向的資源

HW常見攻擊方式 -- SQL注入漏洞

一、產生原因 程式碼與資料不區分。程式把使用者輸入的惡意內容傳入SQL語句中執行,導致SQL注入漏洞產生。

滲透測試之sql注入驗證安全與攻擊效能

由於滲透測試牽涉到安全性以及攻擊性,為了便於交流分享,本人這裡不進行具體網址的透露了。

sql注入原理及防範

前言         sql注入是一種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的一種型別,是用來儲存網站資料的。

淺談一次與sql注入 & webshell 的美麗“邂逅”

引言 一波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。