环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、SQL 注入基础
SQL注入是一种常见的应用程序安全漏洞,发生在应用程序与数据库层之间。简而言之,它是通过在输入的字符串中注入SQL指令来实现的,如果程序设计不良未进行充分检查,那么这些注入的指令就可能被数据库服务器误认为是正常的SQL指令而被执行,导致数据泄露或系统被入侵。
注入原理
SQL注入漏洞的原理是在输入的数据中插入SQL代码,以利用应用程序对输入数据的不完善验证。这使得攻击者能够执行未经授权的数据库查询、修改甚至删除数据。
SQL注入分类
1. 按注入点类型分类
- 数字型注入点:如
http://xx.com/news.php?id=1,其中id类型为数字。 - 字符型注入点:如
http://xx.com/news.php?name=admin,其中name类型为字符类型。
2. 按数据提交方式分类
- GET注入:通过GET方式提交数据,注入点在GET参数部分。
- POST注入:通过POST方式提交数据,注入点在POST数据部分,通常出现
