一、简单登录验证(防SQL注入)GetString(序号) 返回某一列的值(当用户不记得列名序号时,可使用GetOrdinal()获取到序号)GetInt32(序号) 针对的是 int 字段,返回int字段的值GetOrdinal("列名") 根据列名得到序号Console.WriteLine("....
分类:
Web程序 时间:
2014-12-01 15:36:38
阅读次数:
227
习科科普贴,如何找到网站的后台作者:小Dの马甲来自:习科论坛 - Silic.Org - BlackBap.Org1, 穷举猜解 现如今可以暴力猜解网站后台登陆地址的软件有很多,从最早的啊D注入工具开始,一直到现在很多常用的工具(通常为SQL注入利用工具)都会带有后台登陆地址猜解的功能。 当然了.....
分类:
Web程序 时间:
2014-12-01 00:38:48
阅读次数:
482
sql注入就是通过sql语句的固定结构可以尝试得到数据库中的某些字段信息,进而会产生不可预知的后果。比如我们的文本框是实现查询某些信息的功能,那么它的sql语句就是select information from *** where ***,那么我们输入的就是对应于information的内容,一旦我们在文本框中输入“ ') delete ** ” ,之后数据库中真正的sql语句就便是select information') delete ** from *** where ***。...
分类:
数据库 时间:
2014-11-30 18:45:00
阅读次数:
190
原文:『安全工具』注入神器SQLMAP Pic by Baidu
0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器 0x 01 注入原理
*******...
分类:
数据库 时间:
2014-11-27 01:32:28
阅读次数:
255
Pic by Baidu0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器0x 01 注入原理****************...
分类:
数据库 时间:
2014-11-26 20:36:16
阅读次数:
276
example1:select * from users where username='$username' and password='$password'test data:$username = 1' or '1'='1$password=1' or '1'='1select * from ...
分类:
数据库 时间:
2014-11-26 17:54:47
阅读次数:
282
> 列举了为什么PreparedStatement要优于Statement,其中最主要的两点是更快的性能和防止SQL注入攻击。在文章的末尾提到了一个局限性:PreparedStatement不允许一个占位符(?)有多个值,并提出了如何在**IN**子句使用PreparedStatement的棘手问题...
分类:
数据库 时间:
2014-11-26 16:11:30
阅读次数:
229
前段时间,商城在做促销活动的时候,我们的测试人员也买了一些商品,但是时隔多天一直没有收到快递,很是纳闷。经过开发同学的确认,该订单的邮递地址为:北京市火星区xxx,电话号码15555555555,这显然不是一个合理的邮寄地址。由于之前确认过线上并不存在SQL注入的可能性,因此只可能是线上的正常流.....
分类:
其他好文 时间:
2014-11-24 18:56:19
阅读次数:
345
SQLMAP介绍官网地址:http://sqlmap.org/工具类型:一个开放源码的渗透测试工具使用方向:可以自动检测和利用SQL注入攻击和对数据 库服务器安装说明:http://jingyan.baidu.com/article/cd4c2979 c4456e756e6e60ba.htmlsql...
分类:
数据库 时间:
2014-11-22 22:59:49
阅读次数:
410
private bool FilterIllegalChar(string sWord) { var result = false; var keyWord = @"select|insert|delete|from|count\(|drop table|update|truncate|...
分类:
数据库 时间:
2014-11-21 10:19:10
阅读次数:
261
