
平台论坛博客文库

› 论坛 › 数据库技术 › MySQL › mysql注入小结

mysql注入小结 [复制链接]

ywl_php_fly

白手起家

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-12-21 08:42 |只看该作者 |倒序浏览

黑客在网站相关表单输入框输入： This is a great questbook);drop table USERS;

应用程序将接受这个输入，插入一条ＳＱＬ语句，如下所示：

INSERT INTO comments VALUES('This is a great questbook');drop table UEERS;);

数据库服务器将以上代码当作三个不同的命令:

insert into comments values ('this is a great questbook');
drop table users;
);

是的，服务器可能会对第三行的注入代码语法报错。由于假设用户留言不会自己封闭ＳＱＬ语句，因此用户添加了“）；”，正如我们在注入攻击例子所介绍的。但是在数据库服务器遇到第三个命令并抛出语法错误之前，它将执行前两个命令。在服务器遇到这个错误命令的时候，为时已晚。Ｕｓｅｒｓ表已经被删除，应用程序中要求用户登录的部分将无法正常工作。

文库|博客

返回列表

Chinaunix › 论坛 › 数据库技术 › MySQL › mysql注入小结

mysql注入小结 [复制链接]

浏览过的版块