edit_note帖子
65
stars积分
3,819
event加入
2011-04-24
电脑网络
[教程]SQL注入获取数据信息
schedule发表于 2012-02-03 09:37:00
visibility查看 305
chat_bubble回复 0
#1 楼主
我试过了,下面那个网站好像关闭了,大家自己动手找吧,教程只做引导,发现才是自己努力的成果。
第一节、SQL注入原理
以下我们从一个网站 www.19cn.com 开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。
在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为: http://www.19cn.com/showdetail.asp?id=49 ,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示:
Microsoft JET Database Engine 错误 ‘80040e14‘
字符串的语法错误 在查询表达式 ‘ID=49‘‘ 中。
/showdetail. asp ,行8
从这个错误提示我们能看出下面几点:
1.网站使用的是Access数据库,通过JET引擎连接 数据库 ,而不是通过ODBC。
2.程序没有判断客户端提交的数据是否符合程序要求。
3.该SQL语句所查询的表中有一名为ID的字段。
从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。
第一节、SQL注入原理
以下我们从一个网站 www.19cn.com 开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。
在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为: http://www.19cn.com/showdetail.asp?id=49 ,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示:
Microsoft JET Database Engine 错误 ‘80040e14‘
字符串的语法错误 在查询表达式 ‘ID=49‘‘ 中。
/showdetail. asp ,行8
从这个错误提示我们能看出下面几点:
1.网站使用的是Access数据库,通过JET引擎连接 数据库 ,而不是通过ODBC。
2.程序没有判断客户端提交的数据是否符合程序要求。
3.该SQL语句所查询的表中有一名为ID的字段。
从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。
forum
暂无回复,快来抢沙发!
登录 后才能回复
flag举报帖子