最近碰到一个网站页面呗篡改了 现在已知网站的管理人员都不用后台修改页面好像是没法使用且绑定了ip使用,网站架构是php apache mysql 。 我想知道是怎么修改的页面。我通过最近学的一点皮毛能查到数据库的库名 版本 用户什么的 。我想知道 她是怎么修改的。或者给提供一下相关的教程。
还有我想问下 这种网站能通过sql注入查到数据库的库名的密码吗?
用了参数查询方法,现在已经基本不存在这种现象了,那些完全用sql语句的网站还是可以的,比如登陆,一般形式为:
select * from user where uid='网页提交的用户名' and pwd='网页提交的密码'
由于sql中的--是注释的意思,我们可以这样写用户名:
' or 1 > 0;--
这样的话语句变成
select * from user where uid='' or 1 > 0;--' and pwd='网页提交的密码'
这样你看,uid为空,不满足,但是后面有个or并且是恒成立的1>0,所以条件永远成立,所以就登陆上了。其它的也类似,你可以在查询页面通过这种方法查询所有数据,删除数据等操作。
select * from user where uid='网页提交的用户名' and pwd='网页提交的密码'
由于sql中的--是注释的意思,我们可以这样写用户名:
' or 1 > 0;--
这样的话语句变成
select * from user where uid='' or 1 > 0;--' and pwd='网页提交的密码'
这样你看,uid为空,不满足,但是后面有个or并且是恒成立的1>0,所以条件永远成立,所以就登陆上了。其它的也类似,你可以在查询页面通过这种方法查询所有数据,删除数据等操作。
温馨提示:答案为网友推荐,仅供参考
