学习web的一些笔记

其他 2018-11-01 08:09:34 阅读次数: 0


当用户进行用户名和密码验证时,网站就会查询数据库,查询数据库的过程就是执行sql语句。当用户进行登录时,后台进行的数据库查询语句为(sql语句)为Select user_id ,user_type,email from users where user_id='用户名'And password='密码'

万能钥匙用到时语句    【Select * from admin where username ='admin' and password='admin'】 ,

可以用‘or 1=1#作为密码进行输入,构成sql语句为:‘Select *from admin where username='admin ’and password=' '

or  1=1#' 1#'

由于网站后台进行数据库查询的时候没有对单引号进行过滤,当用户输入用户名{admin}和万能钥匙{2'or'1}

这时,进行语句为select user_id,user_type,email from users where user_id='admin' And password=2'or'1

由于SQL语句中逻辑运算符有优先级【=】优先于【and】,【and】优先于【or】且适用于传递性。因此SQL语句在后台进行解析时,语句就分为两句【select user_id,user_type,email from users where user_id ='admin And password='2'】和【‘1’】,两句BOOL进行逻辑or运算,恒为TRUE。就意味着已经认证成功,可以登录到系统中。

猜数据库select schema_name from information_schema.schemata

猜某库的数据表select table_name from information_schema.tables where table_schema=’xxxxx’

猜某表的所有列Select column_name from information_schema.columns where table_name=’xxxxx’

获取某列的内容Select *** from ****

猜你喜欢

转载自blog.csdn.net/W1517055683/article/details/80386280
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022