前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >SQL注入(SQL注入(SQLi)攻击)攻击-注入点

SQL注入(SQL注入(SQLi)攻击)攻击-注入点

作者头像
红目香薰
发布2022-11-29 15:21:14
1.8K0
发布2022-11-29 15:21:14
举报
文章被收录于专栏:CSDNToQQCode

SQL注入被称为漏洞之王 , 是最常用的漏洞之一 , 其中PHP在这方面的贡献最大

SQL注入原理

用户在参数中插入恶意的SQL语句 , 破坏原有的SQL语法结构 , 从而执行攻击者的操作

SQL注入点

注入点可分为两大类: 数字型 和 字符型 

其中字符型又可以细分为 单引号字符型 , 双引号字符型 , 单/双引号+括号的字符型

数字型注入

SQL语句拼接参数时 , 直接拼接参数本身 , 格式如下

代码语言:javascript
复制
SELECT * FROM users WHERE id=$id

字符型注入

SQL语句拼接参数时 , 对参数包裹了单引号,双引号,或括号

单引号字符型 :

参数包裹了单引号 , 格式如下

代码语言:javascript
复制
SELECT * FROM users WHERE id='$id'

单引号+括号字符型 :

参数包裹了单引号和括号 , 格式如下:

代码语言:javascript
复制
SELECT * FROM users WHERE id=('$id')

双引号+括号字符型 :

参数包裹了双引号和括号 , 格式如下:

代码语言:javascript
复制
$id = '"' . $id . '"';
SELECT * FROM users WHERE id=($id) 

 字符型注入并非只有这三种,SQL语句中可以将单引号,双引号,括号自由拼接。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021-09-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • SQL注入原理
  • SQL注入点
  • 数字型注入
  • 字符型注入
  • 单引号字符型 :
  • 单引号+括号字符型 :
  • 双引号+括号字符型 :
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档