为了账号安全,请及时绑定邮箱和手机立即绑定

SQL注入的原理

老师以后有可以有的话讲讲这个注入的原理,谢谢

正在回答

3 回答

sql注入是10年前 2004年才在国内开始的。现在基本很少有简单注入的方法了。

除非你自己研究源码,不然普通的注入基本都会被防注入模块干掉. 像mysql,php等都有相对于的专有方法处理注入问题,这点除非你有明确目的,如果只想尝鲜?不好意思,这个是10年前的东西,可以学习一下理论,无法发挥大用处。 

还有一点,注入是门艺术。

通常网络想玩攻击的各位,小弟给各位一个建议。现在是法治社会,打人前一定要先找好退路,不然就麻烦大了。

通常网络看到的,都是啥找肉鸡之类的,哎。。。炮灰是怎么炼成的哈哈啊

扩展多讲一点~ 


古语有云磨刀不误砍柴工,工欲善其事,必先利其器。

网络是虚拟的,追踪都是通过

追查-->肉鸡ip----->跨国n级代理IP---->IP----->网路提供商----->用户注册信息

a.由此可见避免被短时间堵住,可以通过不同国家多级肉鸡代理,跨国合作不是想象那么简单滴(找点与自己真实国家所对立的肉鸡,难度更大哈哈)

b.拿下网络供应商,把自己所有信息都改成 隔壁王二的家庭住址啥的,信息一定要准确,不然会被内部审查出来。这样就算你倒霉,网警追查到IP拿到供应商对比调出的登记地址 也不是你自己的,给自己充分的跑路时间

c.明白人一看就 理解了 攻击,追查的方式。可以千变万化, 

再改一下共大家参考

追查-->肉鸡ip----->跨国n级代理IP---->IP----->网路提供商----->自己------>肉鸡(用户注册信息)

改变后的保护方案,如果网警经验不足,嘿嘿嫁祸他人了。。 这个主要是把自己也算在整个攻击的一环,把自己当做自己的肉鸡。


以上说的简单,包含很多的东西。新手只看表面,高手不用我再说啥,只定有你们可以借鉴的地方。


我之所以写这些出来,就是想让上面想玩sql inject 的朋友,没保护别到处测试,小心侧漏~~~


备注:

Duang~MySQLi扩展库来袭... 我还没看过,找机会看看~~


以上只是我的个人观点,仅供客官娱乐~~~






0 回复 有任何疑惑可以回复我~
#1

冷眼罗汉 提问者

非常感谢!1024
2015-06-08 回复 有任何疑惑可以回复我~

^-^...

0 回复 有任何疑惑可以回复我~

$username="0' or 1=1 #";

select * from user where username='{$username}' and password='{$password}';

这是个sql注入的例子,将$username赋值为"0' or 1=1 #",('#'是注释后面的SQL语句),SQL语句就变成了:

select * from user where username='0' or 1=1   #and password='{$password}';(这里的都注释了)

因为1=1,所以条件为真了

10 回复 有任何疑惑可以回复我~

举报

0/150
提交
取消
Duang~MySQLi扩展库来袭
  • 参与学习       28643    人
  • 解答问题       181    个

本教程从面向对象和面向过程两个方面为你开启MySQLi学习之旅

进入课程

SQL注入的原理

我要回答 关注问题
意见反馈 帮助中心 APP下载
官方微信