SQL注入基础.pdf

PKAV-EDU 《SQL 注入基础·基础篇1 》 PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET • 从前，有一盏神奇的灯，叫阿拉丁神灯。这盏神灯历经几千年，孕 育出了一个神灯精灵，名叫神灯士。这个神灯精灵诞生不久，灵智还 不高，但是他可以用咒语操控神灯，让神灯变出各种各样的东西。 • 有一天，一只黑狐狸找到了神灯精灵，想让神灯精灵满足他一个愿 望。神灯精灵很爽快的答应了。神灯精灵对狐狸说，你想要什么，只 要你说出名字，我就念咒把它变出来。大家都知道，在童话故事里， 狐狸一般都是很狡猾的。所以狐狸想了想，说：“衣服汽车城堡”。 神灯精灵听完后，对着神灯念咒语：“吧啦吧啦，衣服汽车城堡”。 神灯震了震，冒出一阵烟，但是什么都没出现。神灯士说：“神灯里 面没有衣服汽车城堡”这样东西，所以你的愿望也没实现，你可以再 说一样东西。 • 下面就请大家思考下，狐狸要怎么样说，才能实现衣服、汽车、城 堡的愿望？ PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET Part1 • 数据库基础概念 Part2 • SQL注入漏洞的形成 Part3 • SQL注入在渗透测试过程中的作用 Part4 • 常见的SQL注入过程 PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET 数据(Data) 图像、语音、文字等 •在计算机系统中，各种字母、数字符号的组合、语音、图形、图像等统称为数据。 数据库(Database) Access 、MSSQL 、Oracle、SQLITE、MySQL等 •数据库是按照数据结构来组织、存储和管理数据的“仓库”。 数据库管理系统(DBMS) Access 、MSSQL 、Oracle、SQLITE、MySQL等 •数据库管理系统(database management system)是一种操纵和管理数据库的软件，用于建立、使用和维护数据库。它对数据 库进行统一的管理和控制，以保证数据库的安全性和完整性。 结构化查询语言(SQL) DQL 、DDL 、DML 、TCL、DCL •结构化查询语言(Structured Query Language)简称SQL，结构化查询语言是一种数据库查询和程序设计语言，用于存取数据 以及查询、更新和管理关系数据库系统。 PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET • 这是一个Access数据库 列/字段 值 表 PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET • 这是一个SQL Server 2005的数据库： PKAV 培养专业的渗透测试工程师 EDU.PKAV.NET • 静态网页： html或者htm ，是一种静态的页面格式，不需要服务器解析其中的脚本。由浏览器如(IE、Chrome 等)解析。 1.不依赖数据库 2.灵活性差，制作、更新、维护麻烦 3.交互性交差，在功能方面有较大的限制 4.安全，不存在SQL注入漏洞 • 动态网页： asp、aspx、php、jsp 等，由相应的脚本引擎来解释执行，根据指令生成静态网页。 1.依赖数据库 2.灵活性好，维护简便 3.交互性好，功能强大 4.