如题所述
æè°æ³¨å
¥ç¹å°±æ¯å¯ä»¥å®è¡æ³¨å
¥çå°æ¹ï¼é常æ¯ä¸ä¸ªè®¿é®æ°æ®åºçè¿æ¥ãæ ¹æ®æ³¨å
¥ç¹æ°æ®åºçè¿è¡å¸å·çæéçä¸åï¼ä½ æå¾å°çæéä¹ä¸åã顺便æä¸æ³¨å
¥ï¼éçB/S模å¼åºç¨å¼åçåå±ï¼ä½¿ç¨è¿ç§æ¨¡å¼ç¼åç¨åºçç¨åºåè¶æ¥è¶æ¥è¶å¤ï¼ä½æ¯ç±äºç¨åºåçæ°´å¹³åå·®ä¸é½ç¸å½å¤§ä¸é¨ååºç¨ç¨åºåå¨å®å
¨éæ£ãç¨æ·å¯ä»¥æ交ä¸æ®µæ°æ®åºæ¥è¯¢ä»£ç ï¼æ ¹æ®ç¨åºè¿åçç»æï¼è·å¾æäºä»æ³è¦ç¥çæ°æ®ï¼è¿ä¸ªå°±æ¯æè°çSQLinjectionï¼å³ï¼SQL注å
¥ã注å
¥ç¹å¥½æ¯åä½ä¸æ¡å¤§è¡.å°å·æè
æµæµªæ±é¡ºç大è¡èµ°.åç°æä¸å®¶å¤§é¨æ²¡æå
³.è¿å»åæ¾å°å¯ä»¥æ¿çä¸è¥¿ååºå».å¾å¤ç½ç«è¢«é»æ éæ¯æ¾å°æ³¨å
¥ç¹æ¿å°ç½ç«åå°ç¶åæ¾åºç®¡çåè´¦å·å¯ç æ¥è¿è¡ç»å½.ç»éæååç¾åä¹å
«åé½ä¼ç¨å°ä¸å¥è¯æ¨é©¬.å¾å°ç½ç«çwebshell.å¾å°äºæå¡å¨ææåè¿æ§. 1 æµè§å¨çå°åæ¡
å设 å¨ä½ åç¨åºçæ¶åæè¿æ ·çè¯å¥
A.ASP?ID=35
ç¨åºésql : Select * from 表 Where id="&id
è¿éçç»ææ¬æ¥æ¯
æ§è¡ç»æsql : Select * from 表 Where id=35
è¿é å¦æ idéçå¼ å¹¶ä¸æ¯35 èæ¯ (35 or å¦æç¨éçSQLè¯å¥ï¼é£ä¹å°±ä¼å¨å»æ§è¡ç¸åºçSQLè¯å¥ è¾¾å°ç¥éæ°æ®åºéçå¸æ·å¯ç çä¿¡æ¯
å¦ï¼å°åæ ä¸å¨åé¢ A.ASP?ID=35 or 1=1
å æ§è¡çç»æå°±æäº sql : Select * from 表 Where id=35 or 1=1
å¦æ é»å®¢ç¨çä¸ä» ä» æ¯ or 1=1 è¿æå ¶ä» ç ´åçè¯å¥ ææ´ä¸ªè¡¨å é¤é½å¯ä»¥
è¿ä¸ªæ¯ç¬¬ä¸ç§æ åµ
2 éè¿ ç»éçæ³¨å ¥
å¦ æä¸ä¸ª ç¨æ·çåä¸ä¸ªå¯ç
å¤æ æ°æ®åºä¸ç SQLè¯å¥å¤§å¤æ°äººæ¯è¿æ ·åç
Select * from ç¨æ·è¡¨ Where ç¨æ·å=ç¨æ·å表åæ交è¿æ¥çå¼ and å¯ç =ç¨æ·å¯ç 表åæ交è¿æ¥çå¼
å¦æé»å®¢ å¨ ç¨æ·åä¸è¾å ¥ ä»»æå符 å¦ 2323
Select * from ç¨æ·è¡¨ Where ç¨æ·å=2323 and å¯ç =232 OR 1=1
è¿æ · ç¨æ·å°±æ æ¡ä»¶æ¥åè¿ä¸ªæ°æ®æç« ç»æåæ¯æåä¸æ¡æ°æ® èä¸ç»å¸¸æ¯æé«ç¨æ·è¿ä¸ªä¹æ¯ç¨åºåç»å¸¸æ¾çé误
å设 å¨ä½ åç¨åºçæ¶åæè¿æ ·çè¯å¥
A.ASP?ID=35
ç¨åºésql : Select * from 表 Where id="&id
è¿éçç»ææ¬æ¥æ¯
æ§è¡ç»æsql : Select * from 表 Where id=35
è¿é å¦æ idéçå¼ å¹¶ä¸æ¯35 èæ¯ (35 or å¦æç¨éçSQLè¯å¥ï¼é£ä¹å°±ä¼å¨å»æ§è¡ç¸åºçSQLè¯å¥ è¾¾å°ç¥éæ°æ®åºéçå¸æ·å¯ç çä¿¡æ¯
å¦ï¼å°åæ ä¸å¨åé¢ A.ASP?ID=35 or 1=1
å æ§è¡çç»æå°±æäº sql : Select * from 表 Where id=35 or 1=1
å¦æ é»å®¢ç¨çä¸ä» ä» æ¯ or 1=1 è¿æå ¶ä» ç ´åçè¯å¥ ææ´ä¸ªè¡¨å é¤é½å¯ä»¥
è¿ä¸ªæ¯ç¬¬ä¸ç§æ åµ
2 éè¿ ç»éçæ³¨å ¥
å¦ æä¸ä¸ª ç¨æ·çåä¸ä¸ªå¯ç
å¤æ æ°æ®åºä¸ç SQLè¯å¥å¤§å¤æ°äººæ¯è¿æ ·åç
Select * from ç¨æ·è¡¨ Where ç¨æ·å=ç¨æ·å表åæ交è¿æ¥çå¼ and å¯ç =ç¨æ·å¯ç 表åæ交è¿æ¥çå¼
å¦æé»å®¢ å¨ ç¨æ·åä¸è¾å ¥ ä»»æå符 å¦ 2323
Select * from ç¨æ·è¡¨ Where ç¨æ·å=2323 and å¯ç =232 OR 1=1
è¿æ · ç¨æ·å°±æ æ¡ä»¶æ¥åè¿ä¸ªæ°æ®æç« ç»æåæ¯æåä¸æ¡æ°æ® èä¸ç»å¸¸æ¯æé«ç¨æ·è¿ä¸ªä¹æ¯ç¨åºåç»å¸¸æ¾çé误
温馨提示:答案为网友推荐,仅供参考
