做SQL攻击实验很简单,根本不需要钱什么的
——————————————————————————————————
我们随意做出一个网页,这个网页很简单,就是一个窗口用来连接数据库
网页中的call 数据库语句直接用string来调用,这个时候,在数据库里其实是拼接起来的SQL语句
例如
数据库语句是
”select name from emp where ID = 'v_id' "
其中,v_id是前端传入的数据,因为是直接,调用,所以,如果我输入
1 or 1 = 1
这个时候,SQL语句就拼接成了
“select name from emp where id = 1 or 1 = 1”
因为“1 = 1“是永远成立的,所以就把数据库的所有名字都选出来了
这就是数据库注入攻击,解决方法是用pre_compile来+变量来调用SQL或者调用sp
——————————————————————————————————
需要的软件,首先要有个web server 例如exlips等,其次有个数据库软件,就可以了
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024