String sql注入与sql注入
String sql注入与sql注入
提问于 2014-03-01 11:52:05
普通sql注入和基于字符串的sql注入有什么区别?最好举一个例子。
据我所知,基于字符串的sql注入在某种程度上类似于盲sql注入,因为会发生sql注入,但会返回有效的页面,因此我们无法看到查询的结果。但是,基于string sql注入,我们可以强制网页返回一个错误,查询结果将与错误消息一起显示!有谁能证实这一点,并给出例子。
编辑:一些网站的定义,如上文所述,检查这个http://zerofreak.blogspot.co.uk/2012/03/tutorial-by-zer0freak-difficulty-easy.html?m=1,但这似乎是无效的!
回答 1
Security用户
发布于 2014-03-01 12:23:41
这些原则是完全相同的,它们都利用处理字符串的方法来滥用数据库,获取数据或访问站点。
唯一的区别是,当人们谈论“基于字符串的SQL注入”(或盲SQL注入)时,他们通常指的是容易受到这种攻击的服务器,但是您没有收到任何关于正在发生什么的提示,因此您可能会收到一个有效的网页,但它实际上是脆弱的,因此您必须采取不同的方法。
如果你使用这样的东西:
http://example.org/index.php?id=potato命令10
您将收到普通网页,但当您使用:
http://example.org/index.php?id=potato10-+定单
注意‘和+。在这里,您将收到一个错误,并使用该错误回答您的DB查询。
您可以进一步阅读有关在这个非常好的OWASP教程中的SQL注入的资料。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/52506
复制相关文章
相似问题
腾讯云开发者
