当你的网站查询功能处是这样,那该处一定存在sql注入,要抓紧整

黑客技术干货分享

发布时间:19-12-3021:20

搜索功能几乎是所有网站都有的功能,我们来看一下我们搭建好的这个网站中的搜索功能。

网站正常打开后卫以下页面,该页面总共2条信息。

这时候输入“专业编号”为03

我们可以看到,输入03后会把专业编号包含有03的记录给查询出来。

ps:其实这是sql语句中的模糊查询,我们输入的内容会被当做模糊查询的条件,只要包含有我们输入的内容就会被查询出来。

比如:我们一组数据有:110,114,115,117,1178,11789

当我们输入11查询时,所有数据都会被查出,因为所有数据都包含11,当我们输入117时,117,1178,11789会被查出,因为这些数据都包含117.这就是所谓的模糊查询。

但是当我们在专业编号输入 03' or '%'='

我们可以看到所有的数据都被查询出来了。当你遇到这样的搜索时,基本上可以断定该处是存在sql注入的。

至于形成sql注入的原理大家可以看我其他的文章,而sql注入的危害就不用说了,轻微的可以获取数据库,严重的可以拿到服务器权限等。

返回顶部