有没有办法注入SQL,即使“字符被删除？

发布时间：2020-12-12 16:40:05 所属栏目：MsSql教程来源：网络整理

导读：如果从SQL查询我删除所有的’字符,有没有其他方法来对数据库进行SQL注入攻击？怎么办？有人可以给我举个例子吗？解决方法就在这里.摘自 Wikipedia “SELECT * FROM data WHERE id =”a_variable“;” 从这个说法可以看出,作者意图使a_variable成为与“id”

如果从SQL查询我删除所有的’字符,有没有其他方法来对数据库进行SQL注入攻击？

怎么办？有人可以给我举个例子吗？

解决方法

就在这里.摘自 Wikipedia

“SELECT * FROM data WHERE id =”a_variable“;”

从这个说法可以看出,作者意图使a_variable成为与“id”字段相关的数字.然而,如果它实际上是一个字符串,则最终用户可以在他们选择时操纵该语句,从而绕过对转义字符的需要.例如,将a_variable设置为

1; DROP TABLE用户

将从数据库中删除(删除)“users”表,因为SQL将呈现如下：

SELECT * FROM DATA WHERE id = 1; DROP TABLE users;

SQL注入不是一个简单的攻击打.如果我是你,我会做非常仔细的研究.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!