【HR】web安全之SQL注入基础

无名

SQL注入介绍
什么是SQL注入：
SQL注入是（SQLi）是一种注入攻击，可以执行恶意的SQL语句，它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施；可以绕过网页或者web应用程序的身份验证和授权，并检索整个SQL数据库的内容；还可以使用SQL注入来添加，修改和删除数据库中的记录。

SQL注入的原理：
用户输入的数据被当作代码拼接到代码语句里面执行，造成一些不可估量的后果

危害：
你的数据被别人窃取，甚至被别人全部删除。

有输入输出的地方，就可能存在安全问题

基于从服务器接收到的响应

▲基于错误的 SQL 注入

▲联合查询的类型

▲堆查询注射

▲SQL 盲注

   ?基于布尔 SQL 盲注

   ?基于时间的 SQL 盲注

   ?基于报错的 SQL 盲注
注：非原创，搬砖