前一段时间,在对SQL注入有了新的理解之后,写了这篇文章。本来准备投稿,因为内容过于基础被打回来了,想想屯着也没意思,发出来发出来~~本来有好多图的,但是博客园发图很麻烦,word文档的链接会贴在文章最后面,有兴趣的可以下载下来看。注:本文目标读者是对SQL注入有一定了解,能使用一些工具(SQLMA...
分类:
数据库 时间:
2015-06-11 22:37:23
阅读次数:
140
大家早上好!今天由我给大家带来《web安全之SQL注入篇》系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲: 第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理。”; 第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活用,举一反三”;第三讲:“扩展....
分类:
数据库 时间:
2015-06-11 16:19:09
阅读次数:
192
题记:工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句 早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小...
分类:
数据库 时间:
2015-06-11 12:48:59
阅读次数:
159
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。关键字:SQL注入...
分类:
数据库 时间:
2015-06-10 17:12:34
阅读次数:
224
问题一:Statement和PreparedStatement的区别 先来说说,什么是java中的Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤: 1.首先导入java.sql.*;这个包。.....
分类:
数据库 时间:
2015-06-09 23:30:40
阅读次数:
7031
问题一:Statement和PreparedStatement的区别 先来说说,什么是java中的Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤: 1.首先导入java.sql.*;这个包。.....
分类:
数据库 时间:
2015-06-09 23:11:15
阅读次数:
188
因DEDEV5起,加强了对SQL注入和安全的检查,导致无法查询一些正常的子查询的SQL。以下代码用来解决查询当前栏目及当前栏目下所有子栏目的文章总数,添加到/include/common.func.php或者/include/extend.func.php中,然后在模板中调用getTotalArcB...
分类:
其他好文 时间:
2015-06-09 16:18:39
阅读次数:
118
由于复习,停了好几天,今天换换模式做了一下关于错误回显的ctf题目,首先附上题目:here 整理了一下网上的一些关于错误回显的方法,在这里就不带上地址了,请大牛们原谅:P 0x00 关于错误回显 用我自己的话来讲,基于错误回显的sql注入就是通过sql语句的矛盾性来使数据被回显到页面上...
分类:
数据库 时间:
2015-06-08 23:17:02
阅读次数:
193
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html1.1.1 总结前几天,国内最大的程序猿社区CSDN网站的用户数据库的黑客公告。600登录名和万用户password被公开泄露,随后又有多家站点的用户password被流传...
分类:
数据库 时间:
2015-06-08 21:19:07
阅读次数:
160
我们都知道,参数化查询可以处理SQL注入,以及提高查询的效率,因为参数化查询会使MSSQL缓存查询的计划.但是现在我发现一个奇怪的问题,就是参数化查询比字符串拼接要慢,而且速度相差10倍之多.SQL语句是:select * from T_Message where T_Message.BelongT...
分类:
其他好文 时间:
2015-06-08 18:56:14
阅读次数:
174
