程序员经验分享-hwhale

如何确认SQL注入

2024-04-04

有什么方法可以确认特定的安全漏洞是通过 SQL 注入完成的吗?


这里没有简单的方法,但是如果您启用了用于记录每个 SQL 语句的 SQL 服务器,这就是我要做的。

通常,当我在某处进行 SQL 注入时,我会在结束前一个字符串后使用其中一个作为始终为 true 的语句来传递Where 子句。

1=1 
0=0

两者都被用作:

blahblahblah' or 1=1 --

您不会在日常代码中使用此子句。因此,如果你在你的历史中发现其中之一,那么它就是一个很好的候选者。测试sql历史发现:

(space)(number)(optional spaces)(equal)(optional spaces)(same number)(space)

请记住,这是启发式的,并不总是有效,但可能是唯一的方法事情发生后给予提示。另外,如果您对 SQL 注入有疑问,您应该检查代码中的字符串连接和参数的使用。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

sql

sqlinjection

security

如何确认SQL注入 的相关文章

随机推荐

  • WPF MediaElement 视频播放撕裂

    我正在尝试使用 WPF 中的 MediaElement 控件来播放视频 它在 Vista 中运行得很好 但是当我在 XP 机器上运行它时 我的显示屏出现撕裂现象 看起来好像没有使用垂直同步 只是在绘制过程中更新屏幕 有人知道如何解决这个问题

  • 如何让 VS Code 识别 ES7 绑定运算符

    VS Code 无法识别开箱即用的 ES7 绑定语法 相反 它显示为语法错误 代码中突出显示的错误示例 https i stack imgur com gXXrX png ts Declaration or statement expect

  • Android信号分析+一些过滤器

    由于世界杯是主要的体育赛事 而呜呜祖拉是世界上最烦人的声音 我想通过阅读这篇新文章来彻底消除它们 http www popsci com diy article 2010 06 simple software can filter out

  • ContextCompat.checkSelfPermission 的用例是什么?

    目前我有以下方法来检查运行时权限AppCompatActivity对于棉花糖 if Build VERSION SDK INT gt Build VERSION CODES LOLLIPOP MR1 boolean hasPermissio

  • Rails 3:如何在控制器中获取图像路径?

    要获取控制器中的图像路径 我使用以下方法 class AssetsController lt ApplicationController def download image file name path Rails root join p

  • Z3 SMT 求解器中的常数相等

    我正在使用 Microsoft 的 Z3 SMT 求解器 并且我正在尝试定义自定义类型的常量 默认情况下 这些常量似乎并不不平等 假设您有以下程序 declare sort S 0 declare const x S declare con

  • 带有淡入淡出效果的完整背景图像

    crossfade gt div animation imageAnimation 30s linear infinite 0s backface visibility hidden background size cover backgr

  • 旁加载静态数据

    在 ParDo 中处理数据时 我需要使用存储在 Google Cloud Storage 上的 JSON 架构 我想这可能是侧面加载 我读了他们称之为文档的页面 https beam apache org releases pydoc 2

  • 如何将 [[nodiscard]] 属性应用于 lambda?

    我想防止人们在不处理返回值的情况下调用 lambda Clang 4 0 拒绝我尝试过的一切 使用 std c 1z 进行编译 auto x nodiscard return 1 error nodiscard attribute cann

  • 处理segfault信号SIGSEGV需要使用siginfo_t确定segfault的原因

    我正在为 pthread 库制作一个包装器 它允许每个线程拥有自己的一组非共享内存 现在 如果任何线程尝试读取另一个线程的数据 程序就会出现段错误 这很好 我可以用叹息者抓住它并打电话pthread exit 并继续执行该程序 但并不是所有

  • Bootstrap 下拉列表 z-index 显示在模式窗口页脚下

    我在引导程序方面遇到了一些样式问题 我有一个包含下拉菜单的小模态窗口 但是我似乎无法让下拉菜单显示在窗口的页脚上 我已经使用了下拉列表的 zindex 确保它高于 Windows 但没有运气 谁能建议我应该改变什么 The html div

  • 如何创建浮动操作按钮转变成单张材料

    我正在尝试查看设计库中是否存在任何内置动画来创建浮动操作按钮 并将其转换为单个材料表 如材料设计图像中所示 https material design storage googleapis com publish material v 4

  • Android:访问硬件相机预览帧数据而不绘制它们

    根据 Java SDK 端的 android 相机文档 必须为相机预览帧提供一个要绘制的 可见且活动的 表面 以便访问帧数据 我已经链接了我在这里遇到的一些内容 我是新人 所以最多有 2 个超链接 但是在最终在这里发布我自己的问题之前 我查

  • Heroku DATABASE_URL 作为 Maven 的 JDBC Url

    我在 Heroku 上的应用程序使用 DATABASE URL 使用 Java 将其解析为带有用户名和密码的 JDBC URL 很简单 那里没有问题 但是 我有一个带有 Maven 插件的 JOOQ 生成器和 Flyway 迁移器 但我不知

  • 如何使用 CodeIgniter ACL 库?

    如何实现 ACL 库 对用户角色使用 ACL 的最佳方法是什么 在标准 PHP 中 我会编写如下代码 if userTypeId Admin hello Admin else if userTypeId Member hello membe

  • 创建 ManagedCertificate 会导致“状态:FailedNotVisible”

    使用 Kubernetes 1 12 6 gke 7 或更高版本 可以创建一个 ManagedCertificate 然后从将服务暴露到互联网的入口资源中引用该证书 运行 kubectl describe Managedcertificat

  • 我可以检查 CoInitialize 是否已被调用吗?

    在具有ADO数据库连接的多线程环境中 我想知道CoInitialize是否已被调用 我该如何检查这个 通常你不应该做这个检查而只是打电话CoInitialize CoUnInitialize一对 你仍然可以这样做 function IsCo

  • 条码字段长度

    我正在写一些考勤软件 每个会员都会有一张带有条形码的身份证 他们将用它来登录活动 条形码字段在我的数据库中应该有多长 我想要接受 Code 39 和 Code 128 条形码 我知道这些是可变长度代码 那么我应该将最大长度设置为多少 Tha

  • 将方法指针转换为整数,然后调用它

    我想知道以下是否可能 如果可以 怎么办 请代码示例 如何储存一个指向对象方法的指针 as an 整数值 如何将该整数值转换回 方法指针 以及call it 我想要做的是将 方法指针 存储在 TComponent 派生对象的整数标记值中 然后

  • 如何确认SQL注入

    有什么方法可以确认特定的安全漏洞是通过 SQL 注入完成的吗 这里没有简单的方法 但是如果您启用了用于记录每个 SQL 语句的 SQL 服务器 这就是我要做的 通常 当我在某处进行 SQL 注入时 我会在结束前一个字符串后使用其中一个作为始

热门标签