开发不得不知道的SQL注入 _SQL注入

【开发不得不知道的SQL注入】本文主要讲SQL注入基础教程的，关注我并私信，我把这份教程发给你。
什么是SQL注入？SQL注入指的数据库将用户输入的数据当作SQL语句执行，从而对数据库进行任意的操作达到攻击的目的。这里的“用户”一般是指发现网站漏洞并构造合法的SQL语句对网站进行攻击的人。
怎么导致SQL注入？SQL注入有两个关键的条件：用户能够控制输入、代码中SQL语句对用户输入的数据进行拼接。如下：
String sql="select * from user where address='" + request.getparameter("address") + "'"上面的程序满足SQL注入的两个关键条件，参数name是用户输入的，SQL查询语句是经过拼接的，假设用户输入“深圳”，那么将会执行下面的SQL语句:
select * from user where address='深圳'假设用户输入下面语句:
深圳';drop table user --那么将会执行如下的SQ L语句：
select * from user where address='深圳';drop table user --'明明只是想执行普通的SQL查询语句，变成执行删除数据库的表的SQ L语句。SQ L注入可以造成数据泄露、系统权限被控制等恶劣的后果。
MySQL注入基础保存数据库库表的相关信息的库表
攻击者使用SQ L注入主要是为了获取网站相关的信息，这些数据保存在数据库表中，在MySQL中，默认库名为information_schema的数据库保存着MySQL相关的信息，其中有三个重要的表名，分别是schemata、tables、columns 。
schemata表中保存着用户创建的所有数据库的相关信息，包括数据库名称、数据库默认的字符类型等信息等。记录这些数据库名称的字段为SCHEMA_NAME 。
tables表中保存着用户创建的所有表的相关信息，包括数据库名称、表名、、表的类型、表的引擎、表的创建时间、表的更新时间等信息，记录数据库名称和表名的字段分别为TABLE_NAME、TABLE_SCHEMA 。
columns表中保存着用户创建的所有表字段相关的信息，包括数据库名称、表名以及字段名称等相关信息。记录数据库名称、表名和字段名称的字段为TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME 。
重要的函数
database()：数据库名称，获取当前网站使用的数据库。
version()：当前数据库的版本，获取当前网站使用的数据库版本，有些漏洞是跟版本有关系的。
user()：当前MySQL的登录用户，通过用户的权限对数据库进行何种操作。
注释
在MySQL中注释符有三种：# 注释、--空格注释、/*注释*/ ,攻击者通过注释将原有SQL语句中的一部分注释掉，换成攻击者输入的SQL，从而到达攻击的目的。
根据上述讲解的一些基础信息，当攻击者成功注入的时候，就可以轻易地获取到所有数据库相关的信息,这些Mysql注入的基础信息十分重要，在下面的讲解中将会用到这些基础知识。
案列
有了上述的基础知识，我们来看一个SQL注入的案列，当请求链接：http://localhost:8080/user/name?name=lingheng' 时，数据库将会执行下面SQL语句：
select * from t_person where Fname='lingheng''当参数name=lingheng' 时，上述的SQL语句是不规范的，所以会返回错误：

文章插图
服务器抛出异常
由于SQL语句中多了一个单引号" ' "，数据库执行错误，服务器直接返回错误的信息。从上图的错误信息中可以清楚的看到执行的SQL语句，以及网站使用的数据为 MySQL , 错误的信息回显在网页上会给攻击者提供必要的攻击信息,方便攻击者构造SQL注入语句进行攻击。
注入的类型SQL注入主要有两种：盲注和时间注入。
盲注
当网站没有错误回显，攻击者缺少重要的信息进行攻击，但并不是无法进行攻击，攻击者通过构造简单的SQL语句来测试网页是否发生变化，从而判断SQL语句是否执行了，这就是所谓的盲注。
比如，如下的请求链接：
http://localhost:8080/user/name?name=lingheng执行的SQ L语句为：
select * from t_person where Fname='lingheng'服务器成功返回查询的结果：

文章插图
查询结果
可以构造如下参数进行请求:
http://localhost:8080/user/name?name=lingheng' and 1=2 %23数据库实际执行的SQL语句如下：

select * from t_person where Fname='lingheng' and 1=2 #'
上一页
1
2
3
下一页
		  	





























推荐阅读

           
                  
              
                  蚂蚁集团预计前三季度营收超千亿元 接近去年全年水平 
                
                   
                
              
            

                  
              
                  侧柏叶用量是多少 
                
                   
                
              
            

                  
              
                  『正威国际』拥有全球30多座矿山，年收入超5000亿，他才是中国“隐形首富” 
                
                   
                
              
            

                  
              
                  四个大字打一成语是什么成语 四个大字打一成语 
                
                   
                
              
            

                  
              
                  「渊之海棠」新华为mate30的使用测评，苹果8P 
                
                   
                
              
            

                  
              
                  腕表之家|不找劳力士了买下爱彼，十分钟我改变了想法 
                
                   
                
              
            

                  
              
                  『TF娱乐』原来我们都被骗了，核武器爆炸后100年不能住人？为何日本可以 
                
                   
                
              
            

                  
              
                  「郑州大学」郑州大学第五附属医院持续推进改善医疗服务创新举措提升患者满意度 
                
                   
                
              
            

                  
              
                  怎样和泼妇骂街 
                
                   
                
              
            

                  
              
                  碧螺春茶怎么样,教你辨别真假碧螺春茶 
                
                   
                
              
            

                  
              
                   文物展|南山博物馆上新啦！《南有嘉鱼——荆州出土楚汉文物展》 
                
                   
                
              
            

                  
              
                  「花花体育享」你能全部认出吗？孙俪在中间是最美！，5位漫画版女明星 
                
                   
                
              
            

                  
              
                  为什么有的公共汽车会加注尿素？ 
                
                   
                
              
            

                  
              
                  孙俪|孙俪，登上热搜！ 
                
                   
                
              
            

                  
              
                  正月十五吃元宵别忘养胃 按摩穴位可增强胃动力 
                
                   
                
              
            

                  
              
                  性格古怪的人特点 
                
                   
                
              
            

                  
              
                  语文|歙县高考因暴雨上午语文考试取消 下午数学考试正常进行 
                
                   
                
              
            

                  
              
                  简宅范|一别两宽后马伊琍晒家中豪宅，奢华又有品味，罗马柱显大气 
                
                   
                
              
            

                  
              
                  远洋线缆|特大福利！架空线入地啦 
                
                   
                
              
            

                  
              
                  量子特攻怎么救人，量子特攻不用实名认证版 
                
                   
                
              
            

          

防盗门锁芯，不知道怎么选，刘智教大家如何避免踩“雷”？ 

gRPC如何节省您的开发时间 

程序员开发相关书籍整理分享 

开发APP应用常见的误区有哪些? 

测试人员不知道密码，该怎么使用Linux中的mysql数据库？ 

午睡给你的健康“充充电”，几类人却睡不得 

上班不知道穿什么，不妨试试短袖衬衫配短裙，秒变办公室女神 

开了一家茶叶店，主卖红茶和铁观音，可我不知道怎么宣传，茶叶都是批发价格，请帮忙写写宣传语，谢谢了！[红茶] 

Docker架构概述 

星座男|56岁的香港女星公开发文渴求内地的工作：我还有几分姿色，请我吧！